GDPR
PERSONVERN- OG INTEGRITETSREGLER
Det er viktig for oss å beskytte din personlige integritet og sikre korrekt håndtering av personopplysningene dine.
Formålet med denne teksten er at du skal forstå hva vi gjør med personopplysningene dine og hvilke rettigheter du har. Norsk og europeisk personvernlovgivning pålegger oss å informere om dette.
HVOR FÅR VI PERSONOPPLYSNINGER FRA?
Når vi inngår en avtale med noen (som en kunde eller leverandør), får vi enkelte personopplysninger. I tillegg genereres det visse typer informasjon, inkludert personopplysninger, ved bruk av tjenestene og produktene våre. Nedenfor beskriver vi hvordan vi i BrandFactory bruker, lagrer og på andre måter behandler informasjon, samt hvilke rettigheter den enkelte har.
Behandling av personopplysninger
Personopplysningene vi samler inn, er i all hovedsak kunde- og leverandørinformasjon og brukerinformasjon. Se under for en nærmere beskrivelse av disse.
Kunde- og leverandørinformasjon:
- Når kunden eller leverandøren er en juridisk person som har utpekt en fysisk kontaktperson, vil denne fysiske kontaktpersonen defineres som «kunde» eller «leverandør». Kunde- og leverandørinformasjon er for eksempel kontaktpersonens navn, telefonnummer og e-postadresse. I tillegg behandler vi annen informasjon som kunden/leverandøren har oppgitt gjennom kontakten med oss. Hvis kunden eller leverandøren representerer et enkeltpersonforetak, kan vi også komme til å behandle personnummer.
- Brukere: Hvis kunden har inngått en avtale om administrasjon av nettbutikker eller liknende tjenester, defineres «brukere» som fysiske personer som er ansatt hos eller innleid av kunden, eller andre fysiske brukere av tjenesten.
Brukerinformasjon: Brukerinformasjon er informasjon om brukere som kunden oppgir til oss, som for eksempel brukerens navn, telefonnummer og e-postadresse.
Bruk av personopplysninger
I henhold til Generell personvernforordning (GDPR), som trådte i kraft 1. juli 2018, er det bare tillatt å samle inn personopplysninger til «spesifikke, uttrykkelig angitte og berettigede formål».
Personopplysningene skal deretter bare behandles på en måte som er forenlig med disse formålene.
For å få lov til å behandle personopplysninger, skal man ifølge forordningen ha det som kalles rettslig grunnlag. Det betyr at loven må tillate at man behandler personopplysningene.
For at vi skal ha lov til å behandle personopplysninger, må vi ha følgende rettslige grunnlag: (1) Behandlingen er nødvendig for at vi skal kunne oppfylle inngåtte avtaler med kunden eller leverandøren. (2) Behandlingen er nødvendig for at vi skal kunne oppfylle en lovfestet forpliktelse (det vil si at vi er pålagt å gjøre noe i henhold til en annen lov, for eksempel bokføringsloven). (3) Behandlingen er nødvendig for at vi skal kunne forfølge egne berettigede interesser, og den registrertes interesse av å få beskyttet personopplysningene sine veier ikke tyngre enn våre interesser (interesseavveining). (4) Den registrerte har gitt sitt samtykke til den spesifikke behandlingen.
Vi må behandle og håndtere noen personopplysninger for å kunne levere tjenestene og produktene våre.
Nedenfor følger noen eksempler på formålene og det rettslige grunnlaget for behandlingen vår av personopplysninger. Noen behandlinger krever samtykke fra den registrerte. I slike tilfeller kommer vi til å innhente samtykke for akkurat den behandlingen før vi begynner behandlingen. Et eksempel på dette er nyhetsbrevet vårt.
Kunden eller leverandøren er ansvarlig for å innhente påkrevd samtykke fra brukeren, eller for å inneha annet rettslig grunnlag for behandlingen vi gjør av brukerens brukerinformasjon, som beskrevet nedenfor. Kunden eller leverandøren påtar seg også på våre vegne å informere brukerne sine om behandlingen nedenfor i samsvar med gjeldende personvernlovgivning, for eksempel ved uttrykkelig å henvise til disse personvernreglene.
LEVERING AV TJENESTER
Formål
Vi behandler personopplysninger i det omfang som er nødvendig for å identifisere kunden som vår kunde eller en bruker som kundens bruker (når kunden har oppgitt informasjon om brukerne sine), for å oppfylle en inngått avtale med kunden om levering av produkter og tjenester – for eksempel drift og support for tjenestene våre. Vi behandler også personopplysninger for administrasjon og fakturering av tjenestene våre, for kredittopplysningsformål, for å håndtere support til kunden eller brukeren eller for å hjelpe kunden med spørsmål om tjenester eller avtaler, eller for ellers å ivareta rettighetene våre og oppfylle forpliktelsene våre i samsvar med avtalen med kunden.
Rettslig grunnlag: Interesseavveiing
Interesseavveiing der vår berettigede interesse er å administrere våre leveringer og tjenester i forbindelse med inngåtte avtaler med kunder.
Behandlingen som er beskrevet over, er en forutsetning for at vi skal kunne levere tjenestene. Hvis vi ikke kan utføre en slik behandling, kan vi heller ikke levere tjenestene, men kunden vil likevel være skyldig avtalt beløp i avtaleperioden.
ANNEN KOMMUNIKASJON OM TJENESTER
Formål
Vi behandler også personopplysninger når vi kommuniserer med kundene våre, for eksempel for å levere serviceinformasjon og oppdateringer av tjenestene
for at de skal fungere så godt som mulig. Videre behandler vi personopplysninger når vi er i kontakt med kundene våre når det gjelder spørsmål om tjenestene våre. Det kan også forekomme at vi behandler opplysninger som vi samler inn fra kunden separat, for eksempel ved at kunden velger å svare på en spørreundersøkelse som vi har sendt ut.
Rettslig grunnlag: Interesseavveining
Vår berettigede interesse i denne behandlingen er å holde kunden informert om tjenestene våre og disses tilgjengelighet, samt å lære opp medarbeiderne våre og forbedre arbeidsmetodene våre for å kunne tilby kunden enda bedre service. Her kan vi komme til å bruke kundeopplysninger som for eksempel navn, kundenummer, e-postadresse, telefonnummer og hva slags tjenester kunden kjøper og bruker.
UTVIKLING AV TJENESTER
Formål
For å kunne utvikle virksomheten vår og produktene og tjenestene våre, må vi innimellom behandle data. I disse tilfellene kan vi komme til å sammenstille statistikk for analysebehov.
Rettslig grunnlag: interesseavveining.
Rettslig grunnlag: Interesseavveining
Vår berettigede interesse i denne behandlingen er å optimere produktene og tjenestene våre for også på lengre sikt å kunne tilby kundene våre de beste tjenestene.
MARKEDSFØRING
Formål
Vi behandler ulike typer data for å kunne markedsføre produktene og tjenestene våre til kunden. For disse formålene kan vi kommunisere med kunden via for eksempel brev, telefon, e-post og nettstedet vårt. Vi kan også komme til å sammenstille statistikk for analysebehov.
Rettslig grunnlag: interesseavveining.
Vår berettigede interesse i denne behandlingen er å markedsføre eksisterende eller nye tjenester. For dette formålet kan vi komme til å bruke kundeopplysninger som navn, adresse og telefonnummer, samt opplysninger som type bedrift eller bransjetilhørighet.
INFORMASJONSSIKKERHET OG FORHINDRING AV MISBRUK AV TJENESTER
Formål
Vi behandler data for at det skal være trygt å bruke produktene og tjenestene våre, og for å avdekke eller forhindre ulovlig bruk eller bruk som på annen måte bryter med vilkårene for tjenesten. Vi behandler også data for å forhindre misbruk av tjenester, samt for å avdekke og forhindre svindel, virusangrep og så videre. Rettslig grunnlag: å oppfylle en avtale (kundeopplysninger).
Rettslig grunnlag: Innfrielse av kontrakt
Behandlingen som er beskrevet over, er en forutsetning for at vi skal kunne levere tjenestene våre. Hvis vi ikke kan utføre en slik behandling, kan vi heller ikke levere tjenestene, men kunden vil likevel være skyldig avtalt beløp i avtaleperioden.
ETTERLEVELSE AV LOVER
Formål
Vi behandler personopplysninger for å oppfylle våre lovfestede forpliktelser.
Rettslig grunnlag: å oppfylle en lovfestet forpliktelse.
Rettslig grunnlag: Lovhjemmel
Eksempler på behandling som kan forekomme for dette formålet er lagring av faktureringsgrunnlag for å etterleve bokføringsloven.
INNSAMLING AV OPPLYSNINGER
- I forbindelse med at kunden blir kunde hos oss, samler vi inn opplysninger som kunden selv oppgir til oss. Vi samler også inn opplysninger når kunden kommuniserer med oss, for eksempel for å få informasjon eller ved å svare på et spørreskjema som vi har sendt ut, eller når kunden abonnerer på nyhetsbrevet vårt.
- Vi samler inn brukerinformasjon i forbindelse med at kunden kontakter oss og selv oppgir slik informasjon til oss, for å gjøre det lettere for kunden å se hvem som er brukere i forbindelse med fakturering. Vi samler også inn brukerinformasjon hvis en bruker hos kunden kontakter oss i et supportærend og oppgir kontaktinformasjonen sin til oss for at vi skal kunne følge opp supporten.
- Vi samler inn opplysninger som genereres når kunden eller brukeren benytter noen av tjenestene våre, for eksempel opplysninger som trengs for å håndtere bestillinger eller formidle en beskjed når man sender e-post.
- Vi samler inn opplysninger fra andre kilder, som private og offentlige registre, som for eksempel Bisnode.
- Vi samler inn opplysninger ved at nettstedet vårt bruker informasjonskapsler som samler informasjon på og fra nettleserne som en person bruker til å surfe på nettstedet vårt.
Hva slags informasjon vi samler inn, avhenger av hvilke(n) av tjenestene våre kunden bruker.
Lagring av opplysninger
Vi lagrer aldri personopplysninger lenger enn nødvendig. Opplysninger som vi samler inn og som genereres ved bruk av produktene og tjenestene våre, behandles for ulike formål. Derfor varierer lagringstiden etter bruksområde og lovfestede forpliktelser.
Hvis ikke annet er oppgitt nedenfor, lagrer vi de fleste kundeopplysninger og brukeropplysninger (hvis kunden ikke har bedt om eller avtalt noe annet med oss) så lenge kunden er kunde hos oss. Når avtalen mellom oss har opphørt, slettes (eller anonymiseres)
- opplysningen etter maks. 15 måneder, unntatt hvis vi er lovpålagt å lagre dem lenger (for eksempel etter bokføringsloven).
- Kredittopplysninger slettes etter maks. tre måneder fra innsamling.
- Opplysninger vi har på grunn av lovfestede forpliktelser lagres så lenge den aktuelle loven krever.
Utlevering av opplysninger
I noen situasjoner kan vi komme til å utlevere informasjon til andre. Se nedenfor.
ANDRE VIRKSOMHETER I KONSERNET
Fordi vi i konsernet har mange felles funksjoner, kan personopplysninger formidles til andre virksomheter i konsernet. Disse virksomhetene kan også komme til å behandle opplysninger for å levere og drive med markedsføring av produkter og tjenester som kan interessere kunden.
LEVERANDØRER OG ANDRE SOM BEHANDLER OPPLYSNINGER PÅ VEGNE AV OSS
Vi bruker leverandører av forskjellige tjenester. Disse kan for eksempel være leverandører av teknologiske plattformer (utsetting), systemleverandører, montører eller bedrifter som håndterer utsendelser for oss. Vi utleverer bare opplysninger til underleverandører hvis og i den grad det er nødvendig i hvert enkelt tilfelle. Vi sikrer oss dessuten at underleverandørene overholder personvernlovgivningen.
Overføring til leverandører i tredjeland
Noen av leverandørene våre har deler av virksomheten i land utenfor EU/EØS («tredjeland»). Hvis vi overfører personopplysninger til leverandører i et slikt tredjeland, gjør vi rimelige tiltak for å sikre at de overførte opplysningene behandles i henhold til gjeldende personvernlovgivning. Vi sørger for at leverandøren inngår en avtale med oss der de forplikter seg til å følge de bestemmelsene som EU-kommisjonen har godkjent som tilstrekkelige for å ivareta den personlige integriteten.
MYNDIGHETER
Vi utleverer personopplysninger:
- til politi og påtalemyndighet i henhold til lov og myndighetsbeslutninger
VERN AV OPPLYSNINGER
Vi tar rimelige tekniske og organisatoriske sikkerhetsforanstaltninger som samsvarer med bransjestandard og gjeldende personvernlovgivning, for å sikre at all informasjon vi behandler, vernes mot at uvedkommende får tilgang til den. Det er bare et begrenset antall ansatte som har tilgang til informasjonen, og disses behandling av informasjonen er strengt regulert.
DINE RETTIGHETER
Du som fysisk person har rett til å få vite hva vi gjør med personopplysningene dine, som for eksempel når og hvor personopplysningene dine behandles og hvorfor. Videre har du i enkelte tilfeller rett til å få ut personopplysningene vi har om deg, eller få dem flyttet, rettet, slettet eller blokkert for behandling. Nedenfor ser du hvilke rettigheter du som fysisk person har og hvordan du kan utøve dem.
- Rett til informasjon og innsyn – du har rett til å få vite hvorvidt personopplysninger om deg behandles. Hvis det er tilfelle, har du også rett til å få tilgang til personopplysningene og ytterligere informasjon om behandlingen. En anmodning om en utskrift av slik informasjon skal gjøres skriftlig og være undertegnet av deg. Dersom vi av en eller annen grunn ikke kan oppfylle anmodningen din, vil vi informere deg om årsaken til dette. Du sender anmodningen til adressen nedenfor. Merk konvolutten «registerutskrift».
- Rett til dataportabilitet – du har rett til dataportabilitet, noe som betyr at du i enkelte tilfeller har rett til å få tilgang på personopplysninger om deg som du har oppgitt til oss, slik at du skal kunne overføre disse til en annen behandlingsansvarlig.
- Rett til retting, sletting eller begrensning – du har rett til å få rettet eller slettet personopplysninger om deg, eller begrense behandlingen av disse, samt rett til å protestere mot behandlingen. Unntak kan forekomme, for eksempel dersom vi må etterleve en lovfestet forpliktelse.
- Rett til å klage til en tilsynsmyndighet – du har rett til å klage til ditt nasjonale tilsyn for datasikkerhet (som i Norge er Datatilsynet) dersom behandlingen av personopplysningene dine ikke oppfyller kravene i EUs personvernlovgivning.
- Rett til å trekke tilbake samtykke – dersom og i den grad du har gitt ditt samtykke til en bestemt behandling, har du alltid rett til å trekke tilbake samtykket. En eventuell tilbaketrekking av samtykke påvirker ikke lovligheten av behandlinger som er basert på samtykket før det ble trukket tilbake.
- Rett til å protestere mot en interesseavveining – når behandling skjer ut fra en såkalt interesseavveining, har du rett til når som helst å protestere mot behandlingen.
- Rett til å protestere mot direkte markedsføring – du har rett til når som helst å protestere mot behandling av personopplysninger med henblikk på direkte markedsføring. Dersom du protesterer mot slik behandling av personopplysningene dine, skal denne behandlingen opphøre.
KLAGER
Hvis du som fysisk person mener at vi behandler personopplysningene dine i strid med gjeldende personvernlovgivning, bør du varsle oss om dette så fort som mulig. Du kan også henvende deg direkte til Datatilsynet med klagen din.
INFORMASJONSKAPSLER (COOKIES)
For å forsikre oss om at du får den mest relevante informasjonen og den beste servicen når du bruker tjenestene våre og tjenestene til samarbeidspartnerne våre, samler vi inn informasjon via såkalte informasjonskapsler på enheten du bruker.
BEHANDLINGSANSVARLIG BRANDFACTORY NORGE AS
BrandFactory AS er behandlingsansvarlig og har ansvar for personopplysninger som behandles under varemerket BrandFactory. Vi bestemmer formålet med behandlingen og hvordan den skal foregå.
BrandFactory Norge AS
Personvernansvarlig
P.b.98 Furuset
1001 Oslo
KONTAKT OSS FOR Å UTØVE RETTIGHETENE DINE
Hvis du som fysisk person ønsker å utøve rettighetene dine, som retten til retting, sletting og begrenset behandling av personopplysninger, retten til å protestere, retten til dataportabilitet (gjelder fra 1. juli 2018) og tilbaketrekking av samtykke eller retten til å klage eller søke om erstatning, må du ta kontakt med vår kundeservice: info@brandfactory.no.
PROTESTERE MOT MARKEDSFØRING
Hvis du ikke lenger vil at vi behandler personopplysningene dine med henblikk på direkte markedsføring, kan du varsle oss om dette via kundeservice. Se kontaktinformasjon nedenfor.