Personvernerklæring
Sammendrag
Innledningsvis har vi skrevet et sammendrag til dette dokumentet. Det er ment som en hjelp til å forstå det viktigste dokumentet handler om (men dekker ikke alt). Resten av dokumentet er (dessverre) skrevet ganske formelt og har en juridisk tone og språkdrakt.
Er noe uklart? Spør oss gjerne på kontakt@fiken.no.
Hva handler dette dokumentet om?
Dette dokumentet handler om hvordan vi forholder oss til personopplysninger i Fiken. Det beskriver hva som gjør at vi behandler personopplysninger, på hvilket grunnlag det skjer og hvilke rettigheter man har knyttet til det.
- Fiken er databehandler for personopplysninger kunder legger inn på egen hånd i tjenestene våre, regulert gjennom sluttbrukeravtalen med tilhørende databehandleravtale
- Fiken er behandlingsansvarlig for personopplysninger vi lagrer om våre kunder. Dette gjør vi for drift, sikkerhet, kommunikasjon, rettslige forpliktelser og andre grunner dokumentert her
- Fiken har en egen cookie-policy
Hvordan behandler vi personopplysninger?
- Vi behandler kun personopplysninger når vi mener det er nødvendig, og sletter de når de ikke lenger trengs
- Alle registrerte har rett til innsyn i egne personopplysninger. De har også rett til å få de endret om de ikke stemmer
- Vi deler ikke personopplysninger med andre med mindre loven krever det
- Vi prøver å lagre alle personopplysninger innenfor EØS, men det hender at leverandører kun tilbyr lagring utenfor. Da bruker vi standardavtaler som sikrer at det skjer i tråd med det europeiske personvernregelverket.
Fiken vil i forbindelse med vår virksomhet behandle personopplysninger. Vi er opptatt av å behandle personopplysninger på en sikker og lovlig måte.
Vår behandling som behandlingsansvarlig av personopplysninger er basert på den virksomhet vi driver og formålet med vår virksomhet. Informasjon om personopplysninger vi behandler, det lovlige grunnlaget med behandlingen, formålet med behandlingen, hvor lenge vi behandler personopplysningene, mv. er også tatt inn nedenfor.
Vi kan også være databehandler for våre kunder, spesielt for regnskapsprogrammet Fiken, som betyr at det er våre kunder som er ansvarlig for behandlingen. Se nærmere om dette nedenfor.
Om du har spørsmål eller ønsker å vite mer om vår behandling av personopplysninger, så kan du kontakte oss – se kontaktopplysninger nedenfor.
1 Ansvarlig for behandling av personopplysninger
Fiken er behandlingsansvarlig, dvs. bestemmer hvorfor og hvordan personopplysningene skal behandles, for behandling som omtales nedenfor. Dette gjelder imidlertid ikke hvor vi er databehandler, dvs. behandler personopplysning på vegne av våre kunder, se 4 Oppbevaring og lagring (sletting) av personopplysninger.
Kontaktopplysninger for behandlingsansvarlig:
Fiken AS
Adresse: Karl Johans gate 41A
E-post: kontakt@fiken.no
Telefon: 23 90 50 20
Organisasjonsnummer: 913 312 465
2 Behandling av personopplysninger
Vi samler inn og bruker personopplysninger til ulike formål avhengig av hvem du er og hvordan vi kommer i kontakt med deg.
All behandling av personopplysninger skal skje i overensstemmelse med de til enhver tid gjeldende personvernregler, herunder personopplysningsloven og personvernforordningen (GDPR).
Personopplysninger er enhver opplysning om en fysisk person som kan identifisere direkte eller indirekte (sistnevnte omtales som «registrert»).
Behandling av personopplysninger er enhver aktivitet som gjøres med personopplysninger for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning, endring, overføring eller sletting.
Er vi databehandler, dvs. vi behandler personopplysninger på vegne av andre, som for regnskapsprogrammet Fiken, vil du få informasjon om behandlingen fra behandlingsansvarlig. Du kan allikevel kontakte oss om behandlingen av dine personopplysninger, så vil vi henvise deg til rett behandlingsansvarlig. Se også nedenfor om vår rolle som databehandler.
2.1 Kommunikasjon og kontakt
Vi behandler personopplysninger om dem som henvender seg til oss for å besvare og dokumentere kommunikasjonen og for å henvende oss til andre. Dette gjelder alle former for kommunikasjon, fysisk og digitalt, skriftlig og muntlig. For kontakt med kunder, se punkt 2.3 nedenfor.
I slike tilfeller behandler vi navn, telefonnummer, e-postadresse og eventuelle personopplysninger som måtte følge av henvendelsen, herunder historikk/logger om henvendelsen.
Behandlingen av opplysninger er basert på at vi har en nødvendig berettiget interesse av å behandle personopplysninger knyttet til ovennevnte (se GDPR artikkel 6 (1) f). Vi har derfor vurdert at vår berettigede interesse i å ha kontakt med omverdenen er en del av vår virksomhet og i å dokumentere den virksomheten vi driver, samt å besvare de som kontakter oss og registrere slik kontakt. Vi har vurdert det slik at dette er nødvendig for å oss for å håndtere henvendelser vi får, og at de registrertes personvern ikke går foran disse interessene.
Det er frivillig å gi oss personopplysninger, men det vil være nødvendig å gi oss opplysningene for at vi skal kunne besvare henvendelser.
Vi behandler informasjonen inntil vi regner med at det ikke vil bli videre oppfølgning av kontakten, normalt i to år.
2.2 E-post
Vi benytter e-post som kommunikasjonsløsning som inneholder personopplysninger. Behandlingen er basert på at vi har en nødvendig berettiget interesse av å behandle personopplysning gjennom e-post (se GDPR artikkel 6 (1) f) for å ha et arbeidsverktøy og kommunikasjonsløsning, og at de registrertes personvern ikke går foran disse interessene. Hva som behandles av personopplysninger i e-poster er avhengig av e-postens formål og hva som er inntatt i denne. E-poster slettes når de ikke lenger er nødvendige, og vi har tiltak for å sørge for regelmessig sletting av e-post. Våre sikkerhetsløsninger har også tilgang til e-post, men da kun i maskinell behandling.
2.3 Tjenester
Vi samler inn og behandler personopplysninger om bruk av våre tjenester, som når du bestiller regnskapssystemet Fiken. Ved slik behandling samler vi inn:
- Navn
- Kontaktinformasjon som adresse, mobilnummer, og epostadresse
- Påloggingsdata: IP-adresse, påloggingshistorikk
- Kjøpshistorikk og opplysninger knyttet til klager, herunder krav, eller annet knyttet til våre tjenester.
Ovennevnte behandles for å oppfylle avtale med deg, så du kan bruke våre tjenester (GDPR artikkel 6 (1) b).
Kontaktopplysninger og kjøpshistorikk behandles for å oppfylle avtale med deg, så du kan bruke våre tjenester (GDPR artikkel 6 (1) b).
Opplysningene vil behandles så lenge det er nødvendig for å oppfylle avtalen, om det blir reklamasjon og for regnskapsføring. Opplysningene vil derfor bli behandlet i ca. 5 år.
For opplysningene knyttet til konto hos oss, så vil disse lagres og behandles så lenge kontoen er aktiv eller til du sletter kontoen. Kontoen vil også slettes dersom din konto ikke har vært aktiv de siste [12] måneder.
Vi kan også behandle personopplysninger knyttet til klager, reklamasjon, herunder krav, eller annet knyttet til våre tjenester.
Behandlingen skjer på grunnlag av vår interesse for å håndtere forholdet til kunder, sikre og utvikle tjenesten, verne om våre rettigheter mv., etter GDPR artikkel 6 (1) f. Vi vurderer at vi har en berettiget interesse av å behandle denne type opplysninger, og at vår interesse veier tyngre enn den enkeltes personvern.
Det vil også bli behandlet tekniske logger, sikkerhetslogging på nettsidene og i tilknytning til tjenester av sikkerhetshensyn, for utvikling av tjenesten, og statistikk. Behandling av slike opplysninger gjøres på grunnlag av vår plikt til å overholde personvernregelverket for å sikre personopplysninger, se GDPR artikkel 6 (1) c, jf. bl.a. artikkel 32, og vår plikt til å sikre dine personopplysninger etter avtalen med deg, se ovenfor.
2.4 Nyhetsbrev
I nyhetsberevet vårt sender vi ut informasjon om våre produkter og tjenester, ytelser fra samarbeidspartnere, nyhetsbrev og annen informasjon og markedsføring. Vi vil da behandle din e-postadresse og navn.
Vi behandler personopplysningene for å informere deg om tjenester og produkter som kan være av interesse for deg, og behandler personopplysningene på grunnlag av ditt samtykke (GDPR artikkel 6 (1) a). Du kan når som helst trekke tilbake ditt samtykke ved å benytte eventuelle muligheter til avbestilling i forsendelser du mottar, eller for å reservere deg mot direkte markedsføring og/eller profilering etter GDPR artikkel 21 (2), ved å kontakte oss.
Vi behandler kun personopplysninger som gjør at vi kan foreta utsendelsen, som er e-postadresse, og navn for å gjøre henvendelsen mer personlig og sikre at forsendelsen kommer til rett person. E-postadressen og navnet benyttes ikke til annet enn å sende ut nyhetsbrevet.
Behandlingen skjer inntil du enten har mottatt forespurt informasjon, eller har trukket ditt samtykke. Deretter slettes personopplysningene dine.
2.5 Informasjon og markedsføring
Vi kan også sende ut informasjon om våre tjenester og produkter, som ikke inneholder markedsføring, som når du benytter eller prøver vår løsning, for eksempel nye funksjoner, feil i løsningen eller kommende regnskapsfrister som er relevante for ditt foretak. Dette vil gjøres uavhengig av om du har samtykket, og personopplysningene vil da behandles på grunnlag at vi enten oppfylle en avtale med deg ved at du er eksisterende kunde (GDPR artikkel 6 (1) b) eller basert på vår berettigede interesse av å informere våre brukere og kontakter om våre tjenester eller prøver vår løsning (GDPR artikkel 6 (1) f). Eller så kan vi behandle opplysningene basert på ditt samtykke (GDPR artikkel 6 (1) a). Formålet med behandlingen er da å holde deg oppdatert om produkter og tjenestene du mottar og følge opp kjøp av produkter eller tjenester. Behandlingen av personopplysninger vil skje så lenge du mottar våre tjenester.
Behandler vi på grunnlag av samtykke, kan du når som helst trekke ditt samtykke ved å benytte link i nyhetsbrevet eller kontakte oss for å stoppe mottaket av informasjonen. Vi vil imidlertid oppfordre deg til å fortsatt motta informasjonen, siden den kan ha betydning for din bruk av tjenesten.
Vi behandler kun personopplysninger som gjør at vi kan foreta utsendelsen, som er e-postadresse. E-postadressen benyttes ikke til annet enn å sende ut informasjonen. Personopplysningene behandles så lenge du mottar informasjonen.
2.6 Eksisterende og potensielle kunder, leverandører og samarbeidspartnere mv.
Vi behandler personopplysninger om kontaktpersoner hos eksisterende og potensielle kunder (i forretningsforhold), leverandører og andre samarbeidspartnere for salg- og markedsføringsaktiviteter, å administrere vårt forhold til leverandører og andre, forberede, gjennomføre og dokumentere tjenester samt evaluere bruk av tjenester. Vi vil i disse tilfelle behandle navn, kontaktinformasjon, foretaksnavn og opplysninger tilknyttet kontakten med selskapet som vedkommende arbeider i.
Behandlingen av personopplysninger er basert på at vi har en nødvendig berettiget interesse (GDPR artikkel 6 (1) f) for å administrere forholdet til våre kunder, samarbeidspartnere og leverandører, og at vår interesse veier tyngre enn den enkeltes personvern.
Vi lagrer og utleverer opplysninger også der vi har en rettslig forpliktelse til det, for eksempel etter regnskaps- og skattelovgivningen.
Vi kan lagre opplysninger så lenge de er nødvendige, for eksempel for å dokumentere forhold rundt tjenester.
I mange tilfeller vil det være nødvendig at vi får personopplysninger for å inngå avtaler med kunder og leverandører, blant annet for å dokumentere at avtale er inngått. Får vi ikke de opplysningene vi trenger, vil vi ikke kunne inngå avtaler.
Det er frivillig for kontaktpersonene om de ønsker å gi oss personopplysninger. Henter vi inn personopplysninger fra andre, vil det i hovedsak gjelde kontaktopplysninger (herunder navn, adresse, telefonnummer og e-postadresse), stilling, funksjon og arbeidsgiver samt eventuelt kompetanse og referanser der det er relevant. Kilde for slike opplysninger vil være kontaktpersonens arbeidsgiver, for eksempel fra arbeidsgivers nettside. I noen tilfeller henter vi inn referanser fra andre for å vurdere egnethet av leverandører og samarbeidspartnere.
Vi lagrer opplysningene inntil forholdet til kunde, leverandør eller samarbeidspart opphører eller til kontaktpersonen opphører å være kontaktperson, med de unntakene som er nevnt ovenfor.
2.7 Rekruttering
Ved rekruttering til nye stillinger hos oss vil bl.a. behandle personopplysninger i tilknytning til CV-er, søknader, attester, notater fra intervjuer, resultater fra undersøkelser av referanser, mv.
Vi kan bruke jobbsøketjenester til å administrere innsendte søknader, og dette er da vår databehandler. Registrerer du deg hos jobbsøketjenesten med egen profil, vil tjenesten være behandlingsansvarlig, og det vises til dennes personvernerklæring for informasjon om behandling av personopplysninger i tjenesten. Behandling av personopplysninger er basert på samtykke som du har gitt i jobbsøketjenesten (GDPR artikkel 6 (1) a), om slikt blir innhentet, eller grunnlagene som følger nedenfor.
Grunnlag for behandling av personopplysninger ved rekruttering er at behandlingen er nødvendig for å gjennomføre tiltak før en arbeidsavtale med jobbsøker eventuelt inngås (GDPR artikkel 6 (1) b).
Gjøres det undersøkelser av oss ut over å kontakte personer som er oppgitt som referanse, undersøke ved søk om historikk mv., så behandles personopplysninger på grunnlag av vår nødvendige berettigede interesse for å sikre at riktig kandidat til stillingen (GDPR artikkel 6 (1) f). For sistnevnte har vi vurdert at vår berettigede interesse i å rekruttere nye ansatte veier tyngre enn den enkeltes personvern. Vi oppfordrer deg til å ikke legge inn særlige kategorier personopplysninger, som helse, religion, politiske oppfatninger, fagforeningsmedlemskap mv. i din søknad.
I tilfelle vi behandler særlige personopplysninger, vil behandle dette på grunnlag av ditt samtykke (GDPR artikkel 9 nr. 2 bokstav a). Samtykke kan trekkes tilbake til enhver tid, og at du trekker ditt samtykke vil ikke påvirke lovligheten av behandlingen av personopplysninger som skjedde før samtykket ble trukket.
Personopplysninger slettes så snart rekrutteringen er gjennomført, om du ikke har samtykket til lenger oppbevaring.
2.8 Arrangementer, webinarer mv.
For deltakere på arrangementer vil det bli registrert og behandlet kontaktopplysninger samt hvilket arrangement vedkommende skal delta på, slik at vedkommende kan identifiseres som påmeldt og at det kan gjennomføres nødvendig kommunikasjon og eventuelt fakturering av deltakeravgift. Vi bruker deltakerlister fra webinarer til å tilpasse brukeropplevelser knyttet til funksjonaliteten webinarene dekker. Behandling av personopplysninger vil skje på grunnlag av å oppfylle en avtale med deltaker (GDPR artikkel 6 (1) b), eller om deltakerne representerer en virksomhet på grunnlag av at vi har vurdert at vi har en nødvendig berettiget interesse (GDPR artikkel 6 (1) f) av å avholde arrangementer som del av virksomhet. I sistnevnte tilfelle har vi vurdert at vår berettigede interesse veier tyngre enn den enkeltes personvern.
I tilfelle det serveres mat og/eller drikke vil vi kunne innhente informasjon om eventuelle preferanser, som kan vise helse- og/eller religion ut fra preferansene. Dette er informasjon som vil kun behandles av oss, og som vil slettes umiddelbart etter arrangementet. I slike tilfeller vil opplysningene behandles på grunnlag av samtykke.
2.9 Sosiale medier
Vi har kontakt med interessenter og andre gjennom sosiale medier. Bl.a. har vi etablert en Facebook-side, hvor vi er ansvarlig for behandlingen av personopplysninger i denne tilknytning sammen med Facebook. Gjennom Facebook-siden vil det behandles personopplysninger dersom du legger inn poster på siden, kommenterer poster eller «liker»/følger siden. Formålet vårt med behandling av personopplysninger gjennom Facebook, er å ha kontakt med deg som ønsker å kommunisere med oss eller interagere på vår Facebook-side på andre måter, se også om kommunikasjon under punkt 2.2 E-post.
I denne sammenheng behandles det ditt navn og kobling til andre opplysninger som du har lagt ut på Facebook tilknyttet ditt navn/konto på Facebook. I tillegg behandles alt du deler gjennom poster og kommentarer på vår Facebook-side, samt det forhold at du har «liket»/følger vår nettside. Hva du deler på Facebook-siden er opp til deg, og er frivillig.
Vi ber deg om å ikke dele personopplysninger i poster eller kommentarer på nettsiden, og spesielt ikke dele personopplysninger om andre, f.eks. ved å «tagge» eller omtale personer.
Vi behandler personopplysninger i sosiale medier, som Facebook, på grunnlag av at vi mener å ha en nødvendig berettiget interesse i å kommunisere med omverdenen gjennom det sosiale mediet og vil da behandle personopplysninger i denne sammenheng (GDPR artikkel 6 (1) bokstav f). Vi har vurdert det slik at dette er nødvendig for å oss for å kommunisere med omverdenen og håndtere henvendelser vi får, og at de registrertes personvern ikke går foran disse interessene.
Opplysningene vil behandles så lenge postinger/kommentarer er tilgjengelig på det sosiale mediet, og du kan når som helst selv slette dette.
2.10 Bruk av nettsider
På nettsidene og i tjenestene våre benyttes det informasjonskapsler (cookies) bl.a. for å samle inn informasjon for å gi til bedre kundeopplevelsen på nettsider og tjenester, samt å tilby funksjonalitet i tjenestene. Vi benytter også informasjonen for å gi besøkende anbefalinger og tjenestetilpasninger som er mest mulig relevant for deg. Dette vil både bli gitt på bakgrunn av besøkendes atferd, f.eks. på bakgrunn av tjenester som er benyttet, linker som det er klikket på, eller informasjon som er lest, og på bakgrunn av atferden til andre brukere med liknende bruksmønster. I tillegg brukes det informasjonskapsler for å gi tilpasset markedsføring på våre nettsider, i annonsenettverk og på sosiale medier. Så langt det er praktisk mulig forsøker vi å gjøre dette med anonyme opplysninger, uten at vi vet at informasjonen er knyttet spesifikt til den enkelte besøkende.
For bruk av informasjonskapsler og tilsvarende løsninger, se mer i «boksen» om cookies på våre nettsider. For å trekke samtykke du har gitt eller endre innstillinger, må du klikke på ikonet nederst til venstre på nettsiden. .
Vi behandler personopplysninger ovenfor på grunnlag av vår nødvendige berettigede interesse (GDPR artikkel 6 (1) f) å tilpasse nettsiden til våre brukere og at denne interessen veier tyngde enn den enkeltes personvern, samt basert på ditt samtykke hva gjelder opplysninger om statistikk, analyse og markedsføring. Opplysningene vil oppbevares så lenge de er nødvendige for formålene som nevnt ovenfor.
3 Behandling på grunnlag av samtykke
Om vi behandler personopplysning på grunnlag av ditt samtykke, se ovenfor, kan du trekke tilbake samtykke når som helst uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake. Ta kontakt med oss om du vil trekke samtykket. Merk at dersom du trekker samtykket, kan det være at vi kan fortsatt behandle alle eller deler av opplysningene fortsatt om det foreligger et annet grunnlag for behandlingen.
4 Oppbevaring og lagring (sletting) av personopplysninger
Vi oppbevarer personopplysninger så lenge det er nødvendig for det formål personopplysningene ble samlet inn for, og sletter opplysningene i tråd med krav i regelverket. Hvor lenge vi oppbevarer personopplysningene varierer ut fra hvordan opplysningene ble innhentet og formålet de ble innhentet for. Når vi sletter opplysningene er tatt inn i ovenfor hvor de enkelte behandlinger omtales, eller så er lagringsperioden basert på følgende kriter:
- Hvorvidt vi har et juridisk eller avtalemessig behov for å beholde opplysningene, som det kan komme krav rettet mot oss
- Hvorvidt opplysningene er nødvendige for vår virksomhet
- Der behandlingsgrunnlaget er samtykke, når samtykket trekkes tilbake.
Når vi ikke lenger har et pågående berettiget behov for å behandle personopplysningene dine, blir de slettet eller anonymisert så raskt som mulig i samsvar med gjeldende lov.
I stedet for å slette personopplysningene, kan det i enkelte tilfeller være aktuelt å anonymisere personopplysningene. Med anonymisering menes at alle identifiserende eller potensielt identifiserende kjennetegn fjernes fra datasett som tas vare på.
Dette betyr for eksempel at personopplysninger som vi behandler på grunnlag av ditt samtykke slettes hvis du trekker ditt samtykke. Personopplysninger vi behandler for å oppfylle en avtale med deg slettes når avtalen er oppfylt og alle plikter som følger av avtaleforholdet er oppfylt, som f.eks. lovmessige plikter knyttet til regnskapsføring, oppfølging av kundeforholdet knyttet til reklamasjon mv. Personopplysninger vi behandler som følge av lovmessig plikt, vil slettes så snart vi ikke har plikt til å oppbevare opplysningene.
5 Behandling av personopplysninger som del av tjenester
Kunder av oss som benytter våre tjenester, som regnskapsprogrammet Fiken, er behandlingsansvarlig for de personopplysninger som behandles ved bruk av tjenestene. Vi vil da behandle personopplysninger på vegne av kunden, og er da databehandler. Det er inngått databehandleravtale mellom oss og kundene for å regulere vår behandling av personopplysninger på vegne av kundene.
Informasjonen i denne personvernerklæringen vil også gjelde vår behandling av personopplysninger om våre kunders kunder når det gjelder utlevering og overføring av personopplysninger og sikkerhetsmessig/tekniske forhold. For sletting av personopplysninger, så er det avhengig av når vår kunde velger å slette opplysningene. Vi vil aldri benytte informasjon eller opplysninger fra våre tjenester uten at dette er instruert eller godkjent av våre kunder.
Vi sender ut e-post til kontaktpersoner hos brukere av våre tjenester og våre kunder for å gi informasjon om tjenestene, som tekniske forhold, oppgraderinger, ny funksjonalitet mv., i tillegg til e-poster som er automatisk generert av våre tjenester. Mottakere av disse kan melde seg av/gi informasjon om at de ikke ønsker e-postene. Se mer under.
Nedenfor har vi tatt inn en generell beskrivelse av den behandling som skjer i regnskapssystemet Fiken. Det kan være at den enkelte behandlingsansvarlig behandler eller får behandlet personopplysning annerledes i tjenesten. Det er behandlingsansvarlig som er ansvarlig for å informere om den behandling som gjøres, selv om vi er databehandler. Vi har imidlertid gjort denne informasjonen tilgjengelig for at det skal være enklere for brukere å få innsikt i behandlingen som gjøres.
Formålet med behandlingen
Formålet med behandlingen av personopplysning som gjøres i tjenesten er å levere de funksjoner og utføre de oppgaver som er hensikten med å levere regnskapssystemet. Dette er bl.a. å sørge for regnskapsføring, timeføring, lønnsføring og utbetaling, fakturering, årsavslutning mv.
Behandling som gjøres i tjenesten
Følgende behandling av personopplysning vil skje i tjenesten:
- Registrering av personopplysninger som kan knyttes til brukere av tjenestene og andre som blir registrert i tjenesten (personopplysninger), se mer i punktene under
- Alle opplysninger som kan knyttes til regnskapsføring, timeføring, lønnsføring og utbetaling, fakturering mv. Opplysningene er avhengig av hvilke opplysninger som brukere legger inn i systemet. Se mer nedenfor.
- Integrasjon mot andre systemer som kan medføre sammenstilling, endring og overføring av personopplysning til disse systemene
- Beregne statistikk og analyser, som gis på rapporter. Rapportene vil ikke inneholde personopplysninger.
- Sikkerhetskopi av data (inkludert personopplysninger)
- Personell med ansvar for drift, support mv. benytter sin administratortilgang for å utføre brukerstøtte og driftsvedlikehold på Behandlingsansvarliges data og driftsressurser (servere, databaser, brukerkontoer og liknende)
Det rettslige grunnlaget for å behandle personopplysninger er avhengig av formålet for behandlingen av vår kunde som er behandlingsansvarlig, men normalt vil behandlingen gjøres for enten å oppfylle en avtale med ansatte (som lønnsutbetaling), oppfylle en rettslig forpliktelse (som regnskapsføring og overføring av data til Altinn og skattemyndighetene) samt at det kan foreligge en berettiget interesse i virksomheten som å kunne fakturere mv.
Oversikt over hvilke underdatabehandlere og samarbeidspartnere som benyttes er inntatt her: https://fiken.no/sluttbrukeravtale/datautveksling.
Vi vil også være behandlingsansvarlig for enkelte personopplysninger som behandles i tilknytning til våre tjenester som vil omfatte:
Systemovervåking, feilretting mm.
Vi overvåker våre systemer etter feil og problemer. En del av disse prosessene innebærer lagring og behandling av personopplysninger. Det rettslige grunnlaget for å behandle personopplysninger til dette formålet er vår berettigede interesse da vi mener å ha en berettiget interesse å sørge for at våre systemer og løsninger ikke har feil eller problemer.
Sikkerhet
Vi behandler personopplysninger i vårt arbeid med å beskytte våre løsninger og tjenester, brukere og oss selv mot sikkerhetsbrister, svindelaktivitet, misbruk, mv. Det rettslige grunnlaget for å behandle personopplysninger til dette formålet er vår berettigede interesse, samt at vi har plikter etter personvernregelverket å sikre personopplysning, se bl.a. GDPR artikkel 24 og 32, samt at vi har plikter overfor våre kunder etter databehandleravtalen som er inngått med disse.
Overholde rettslige forpliktelser
Vi kan være pålagt å behandle personopplysninger av hensyn til andre rettslige forpliktelser, som å sikre data i tilknytning til rettstvister, utleveringskrav mv. Det rettslige grunnlaget for å behandle personopplysninger til dette formålet er at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler oss.
Kommunikasjon til brukere
Vi kan sende informasjon om løsningen til brukere av løsningen for å informere om løsningen, tilgjengelighet, funksjonalitet, og andre forhold som er nødvendig for brukerne å være klar over. Slike utsendelser gjøres på grunnlag av vår berettigede interesse i å holde brukere oppdatert om løsningen. Du kan reservere deg mot utsendelser, men vi anbefaler at du ikke gjør det siden du kan da gå glipp av viktig informasjon.
Dine rettigheter
Er vi databehandler i behandlingen av personopplysninger som angitt ovenfor, må du ta kontakt med den som er behandlingsansvarlig for å utøve dine rettigheter. Rettighetene du har vil imidlertid være stort sett de samme som vi har listet opp nedenfor. Kontakter du oss, vil vi også kunne være behjelpelig med å henvise deg videre til behandlingsansvarlig, om vi har denne informasjonen.
Er vi behandlingsansvarlig, finner du mer om dine rettigheter nedenfor, og du kan kontakte oss for å håndheve dine rettigheter.
6 Overføring eller utlevering av personopplysninger til andre
Vi gir ikke personopplysninger videre til andre i andre tilfeller enn nevnt i denne erklæringen og med mindre det foreligger et lovlig grunnlag for dette. Eksempler på slikt grunnlag vil typisk være en avtale med eller samtykke fra den registrerte eller en lovmessig plikt som pålegger oss å gi ut informasjonen. Sistnevnte gjelder til offentlig virksomhet som skatteinnkreving (om nødvendig), regnskapsfører/revisor, samt andre som vi har behov for i vår virksomhet som bankforbindelse.
Vi bruker databehandlere til å samle inn, lagre eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller har vi inngått avtaler for å ivareta dine rettigheter og sikkerhet for dine personopplysninger i alle ledd av behandlingen.
Er det pålagt ved lov eller det er mistanke om at det er begått lovbrudd i forbindelse med bruk av våre tjenester, vil personopplysninger vi har lagret om deg kunne utleveres til offentlige myndigheter.
Dersom personopplysninger kan bli gjenstand for overføring til en annen organisasjon i forbindelse med fusjon, finansiering, omorganisering eller oppløsningstransaksjon av hele eller deler av oss, vil vi kun gjøre dette dersom de involverte partene har inngått en avtale der innsamlingen, bruk og deling av personopplysningene er begrenset til de formålene som angår transaksjonen, herunder en bestemmelse om hvorvidt transaksjonen skal gå videre eller ikke, og personopplysningene skal kun brukes av de involverte parter for å gjennomføre og fullføre transaksjonen. Hvis et annet selskap kjøper oss eller vår virksomhet eller eiendeler, vil dette selskapet ha tilgang til personopplysningene innsamlet av oss, og vil påta seg de rettigheter og forpliktelser vedrørende dine personopplysninger som beskrevet i denne personvernerklæringen.
7 Overføring av personopplysninger til mottaker i land utenfor EØS
Det er en målsetting for oss at all behandling av personopplysninger skal foretas innenfor EØS, men det vil kunne være at vi benytter leverandører eller behandler personopplysninger utenfor EØS. I slike tilfeller vil overføring og behandling utenfor EØS (tredjeland) skje i land godkjent av EU-kommisjonen eller i samsvar med gyldig rettslig grunnlag for overføringen av personopplysninger etter GDPR kapittel V. Skjer ikke overføring til land godkjent av EU-kommisjonen, vil overføring kun skje etter de garantier som er oppstilt i GDPR artikkel 46 (2). Hvilket grunnlag som er benyttet for overføring kan du få opplyst om du kontakter oss.
8 Linker til tredjeparter/andre nettsteder
Det kan være linker til andre nettsteder eller tredjeparter som tilbyr produkter eller tjenester, og andre steder som ikke er under vår kontroll, på våre nettsider. Disse koblingene tilbys kun som en mulighet for brukere til å få mer informasjon. Nettsider som ikke er en del av våre, dvs. som ikke er under adressene fiken.no vil behandle personopplysninger som behandlingsansvarlig selv og vil kunne ha separate og uavhengige retningslinjer for personvern. Vi har ikke noe ansvar for innholdet og aktivitetene til disse nettsidene.
9 Sikkerhet for behandlingen
Vi prioriterer sikkerhet av personopplysninger høyt i vår virksomhet og vil iverksette alle påkrevede tekniske og organisatoriske tiltak for å sikre dine personopplysninger.
Vi håndterer informasjon slik at den er riktig, tilgjengelig og håndtert i henhold til grad av sensitivitet på opplysningene. Vi benytter også en rekke sikkerhetsteknologier og informasjonssikkerhets-prosedyrer for å beskytte personopplysningene fra uautorisert tilgang, bruk eller formidling. Det gjennomføres risikovurderinger for behandling av personopplysninger.
Vi har inngått databehandleravtaler med alle våre leverandører som behandler personopplysninger, hvor de påtar seg samme grad av sikkerhet som vi har for vår behandling av personopplysninger.
Vi begrenser tilgangen til personopplysninger til det personalet eller de tredjepartene som skal behandle opplysningene på våre vegne. Disse partene er underlagt konfidensialitetsplikt.
Det er etablert rutiner for håndtering av brudd på informasjonssikkerhet og rutiner (personvernbrudd), og vi vil, dersom det foreligger brudd som medfører risiko for personvernet til de personopplysningene gjelder, sende avviksmelding til Datatilsynet så raskt som mulig og senest innen 72 timer etter bruddet ble oppdaget. Medfører bruddet høy sannsynlighet for personvernet til de bruddet gjelder, vil vi også varsle disse.
10 Dine rettigheter når vi behandler personopplysninger om deg
Nedenfor følger dine rettigheter for behandlingen av personopplysninger. For å ta i bruk dine rettigheter må du kontakte oss, se kontaktinformasjon over, eller på annen måte om det følger nedenfor.
Vi vil svare på din henvendelse til oss så fort som mulig, og senest innen én måned. Tar det lenger tid enn én måned vil du få beskjed.
Vi vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg - og ikke noen som gir seg ut for å være deg.
Dine rettigheter nedenfor gjelder der vi er behandlingsansvarlig, se ovenfor. Er vi databehandler for våre kunder, og du benytter tjenester fra en av våre kunder og da er denne ansvarlig for behandlingen av personopplysninger (behandlingsansvarlig). Du må da kontakte den du mottar tjenesten fra for å utøve dine rettigheter knyttet til behandling av dine personopplysninger. Dine rettigheter vil da i det vesentlige være som beskrevet nedenfor.
10.1 Informasjon
Du har rett til å få informasjon om de personopplysninger vi behandler om deg. Gjennom denne erklæringen informerer vi deg om vår behandling av personopplysninger. Du kan også kontakte oss om du ønsker mer informasjon.
Om vi har utlevert opplysninger til andre, så har vi en plikt til å informere mottakeren om krav om retting og sletting av personopplysning, se punkt 10.3 Endring og sletting nedenfor, eller begrensninger av behandlingen, se punkt 10.5 Rett til å begrense eller protestere mot behandlingen nedenfor, om slik informering er umulig eller innebærer en uforholdsmessig stor innsats. Vi har plikt til å informere deg om slik utlevering om det ber om det.
10.2 Innsyn
Du har rett til å kreve innsyn i personopplysningene som behandles om deg. Ta kontakt med oss om du ønsker innsyn. Om du har registrert konto, vil de fleste opplysninger du har avgitt kunne håndteres i tjenesten, om opplysningene ikke er slettet, se ovenfor.
Dersom du krever det, vil du også få en kopi av de personopplysninger vi behandler om deg. Vi vil kunne be deg om å spesifisere hvilke opplysninger du ønsker kopi av, for å gjøre utleveringen enklere for oss. Ved utlevering av kopi av dine personopplysninger vil vi kunne kreve at du identifiserer seg, for at vi skal sikre at vi ikke utleverer personopplysninger til uvedkommende. Opplysningene om deg vil bli oversendt i digital form med mindre du ber om å få dem overført på annen måte.
10.3 Endring og sletting
Du kan også be oss om å rette feilaktige opplysninger vi har om deg eller be oss om å slette personopplysninger. Du kan også rette eller slette dine opplysninger gjennom tjenesten om du er registrert bruker. Vi vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men vi kan ikke gjøre dette dersom vi fremdeles har behov for opplysningene.
10.4 Behandling på grunnlag av samtykke
Behandler vi personopplysninger på grunnlag av ditt samtykke, så kan du til enhver tid trekke tilbake samtykket. Den enkleste måten å gjøre dette på, er å bruke den måte som er opplyst om da du ga samtykket eller kontakte oss.
10.5 Rett til å begrense eller protestere mot behandlingen
Du kan kreve at behandlingen vår av dine personopplysninger begrenses i visse tilfelle, dersom vilkårene for dette er oppfylt. Dersom behandlingen begrenses, vil personopplysningene kun lagres. Se nærmere i GDPR artikkel 21.
Der vår behandling har grunnlag i berettigede interesser, har du rett til å protestere mot behandlingen av personopplysningene dine. Dersom du protesterer, skal vi stanse den aktuelle behandlingen, med mindre det foreligger tvingende berettigede grunner til å fortsette behandlingen.
Du kan også reservere deg mot behandling av personopplysninger som angår deg til markedsføring, herunder profilering i den grad dette er knyttet til direkte markedsføring, se GDPR artikkel 22 nr. 2.
10.6 Retten til dataportabilitet
For opplysninger som du har gitt til oss og er nødvendig for å gjennomføre en avtale med oss, og som behandles automatisk (dvs. ikke manuelt av oss) kan du be om å få personopplysningene om deg utlevert eller overført til annen leverandør i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet).
10.7 Automatisert behandling, herunder profilering
Det vil ikke bli foretatt automatisert behandling, herunder profilering, basert på dine personopplysninger som har rettsvirkninger eller som i betydelig grad påvirker dem som personopplysninger gjelder. Se GDPR artikkel 22 nr. 1 og 4.
10.8 Rett til å bli varslet
Dersom det skjer et personvernbrudd, dvs. brudd på sikkerheten for personopplysning som vil medføre en høy risiko for personvernet ditt, vil vi varsle deg uten ugrunnet opphold.
11 Klager
Opplever du at vår behandling av personopplysninger ikke er i overensstemmelse med det vi har beskrevet her eller at vi på andre måter bryter personvernlovgivningen, så kan du klage til Datatilsynet. Vi ber deg imidlertid å først kontakte oss, slik at vi kan få utbedret eventuelle feil behandling raskest mulig.
Du finner informasjon om dine rettigheter og hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.
12 Endringer
Hvis det skulle skje endring i vår behandling av personopplysninger eller endringer i regelverket om behandling av personopplysninger, kan det medføre forandring i informasjonen du er gitt her. Er det endringer som vedrører deg direkte og som har betydning for ditt personvern, vil vi kunne kontakte deg om vi har dine kontaktopplysninger. Ellers vil du til enhver tid finne oppdatert versjon av denne personvernerklæring på våre nettsider.