Personvernerklæring
Edsbyn Senab AB sin personvernerklæring
1. Bakgrunn
Edsbyn Senab AB og dets heleide datterselskaper (heretter omtalt som ”Edsbyn Senab”) behandler personopplysninger i sin daglige virksomhet. Personvernerklæringen gjelder generelt for behandlingen av personopplysninger innen Edsbyn Senab og finnes for å forklare hvilken type data Edsbyn Senab behandler, hvorfor og hvordan. Personopplysninger behandles i Edsbyn Senabs HR-system, interne kommunikasjonssystemer som e-postprogrammer, ordresystem, forretningssystem, innkjøps- og logistikkprosessen, innen markedskommunikasjon for nyhetsbrev, statistikk, skjemasvar og samtykkeskjemaer.
Personopplysninger behandles også på Edsbyn Senabs nettsider samt i øvrige digitale kanaler. Personvernerklæringen gjelder for ansatte, kunder, leverandører og kandidater for ev. fremtidig ansettelse.
2. Personopplysninger og behandling av personopplysninger
Personopplysninger er all informasjon som direkte, eller indirekte sammen med andre opplysninger, kan knyttes til en levende fysisk person. Navn, telefonnummer, bilder og IP-adresser kan være personopplysninger. Bestillinger kan også være personopplysninger dersom de sammen med andre opplysninger kan knyttes til en person. Tiltak som gjøres med personopplysninger er behandling av personopplysninger, for eksempel lagring, innsamling, endring, sletting og spredning.
2.1. Særlige kategorier av personopplysninger
Edsbyn Senab behandler iblant særlige kategorier av personopplysninger. Blant annet anses opplysninger om helse, fagforeningstilhørighet og religiøs overbevisning å tilhøre særlige kategorier og skal være ekstra verneverdige. Innen Edsbyn Senab kan vi håndtere opplysninger om våre medarbeideres helse, noe som i så fall skjer med den enkeltes samtykke. Også fagforeningstilhørighet kan behandles i ansettelsesforhold, dersom det er nødvendig innen arbeidsretten.
3. Behandlingsansvarlig
Behandlingsansvarlig er den som er ansvarlig for behandlingen av personopplysninger og bestemmer hvorfor og hvordan personopplysninger behandles. I de fleste tilfeller er konsernets morselskap, Edsbyn Senab, behandlingsansvarlig. I andre tilfeller er ett av datterselskapene i konsernet behandlingsansvarlig. I enkelte tilfeller bestemmer en annen part hvilke personopplysninger som behandles og hvorfor. Edsbyn Senab er da databehandler og behandler personopplysninger på vegne av denne.
4. Databehandlere
For å kunne levere sine tjenester benytter Edsbyn Senab seg av databehandlere. Det innebærer at Edsbyn Senab er behandlingsansvarlig og bestemmer hvilke personopplysninger som behandles og hvorfor, men at vi setter ut deler av behandlingen. Det dreier seg for eksempel om IT-løsninger som systemer for lagring og ordrelegging. Edsbyn Senab bestemmer da over behandlingen og er ansvarlig for den, men får hjelp av andre leverandører for å kunne levere sine tjenester. Edsbyn Senab inngår alltid databehandleravtaler med databehandlere for å sikre et høyt beskyttelsesnivå for all data.
5. Edsbyn Senabs behandling av personopplysninger
Edsbyn Senab og våre databehandlere har alltid et lovlig grunnlag for behandling av personopplysninger. Som oftest er det nødvendig for å oppfylle avtaler, men det kan også skje etter samtykke, dersom det kreves for å ivareta rettslige krav eller på grunn av lovkrav. Edsbyn Senab kan også behandle personopplysninger dersom det foreligger en berettiget interesse. Den berettigede interessen veier da tyngre enn den registrertes interesse av at Edsbyn Senab ikke behandler dennes personopplysninger. Markedsføring til kunder vi tidligere har vært i kontakt med skjer for eksempel etter en interesseavveining. Som registrert er det imidlertid alltid mulig på en enkel måte å motsette seg slik behandling av personopplysninger eller frasi seg videre kontakt.
Nedenfor følger en oversikt over Edsbyn Senabs behandling av personopplysninger. Edsbyn Senab streber etter å behandle så få personopplysninger som mulig. Alle kategorier av personopplysninger behandles derfor ikke ved hvert tilfelle. For eksempel behandles adresser og e-postadresser ikke alltid ved ordrelegging, men det forekommer.
5.1. Kommunikasjon og administrering
Edsbyn Senab behandler personopplysninger for administrering og kommunikasjon med kunder, ansatte, leverandører og kandidater ved rekruttering. Formålet er å håndtere bestillinger, ansettelser og administrere virksomheten.
Personopplysninger:
Navn, e-postadresse, adresse, telefonnummer, bestillinger.
Lovlig grunnlag:
Behandlingen er nødvendig for å kunne oppfylle avtalene og levere våre tjenester.
Opplysningenes opprinnelse:
Opplysningene kommer fra den registrerte selv og gis til oss ved ordrelegging og avtaleinngåelse.
5.2. Ansettelsesforhold
5.2.1. For å håndtere administreringen og utbetalingen av lønn og kontakt med ansatte må Edsbyn Senab behandle ansattes personopplysninger.
Personopplysninger:
Navn, e-postadresse, adresse, telefonnummer, eventuelle pårørende, kontonummer, arbeidsattest, lønnsslipper, fravær, kompetanseutviklingsplaner, personlighetstester, kontrolloppgaver, inntektsopplysninger.
Lovlig grunnlag:
Samtykke i forbindelse med ansettelse, alternativt myndighetsutøvelse. Behandlingen er nødvendig for å kunne oppfylle ansettelsesavtaler og for å administrere og betale ut lønn.
Edsbyn Senab har som arbeidsgiver en rettslig forpliktelse til å gi Skatteverket ansattes kontrolloppgaver.
Opplysningenes opprinnelse:
Opplysningene kommer fra den registrerte selv og gis til oss ved avtaleinngåelse eller under avtaleforholdet. Lønnsslipper genereres i Edsbyn Senabs lønnssystem og arbeidsattest opprettes av HR-avdelingen. Opplysningene kommer fra lønnssystemet og er basert på det som er registrert med utgangspunkt i den ansattes lønn og stillingsgrad.
5.2.2 Medarbeiderundersøkelser
For å kontinuerlig følge og arbeide med å forbedre ansettelsesforholdene for våre medarbeidere sender vi jevnlig ut medarbeiderundersøkelser til våre ansatte og ber dem delta med sine svar.
Personopplysninger:
Navn, e-postadresse, svarresultat, avdeling, selskap, sted.
Lovlig grunnlag:
Behandlingen skjer etter en interesseavveining.
Opplysningenes opprinnelse:
Opplysningene for utsendelse kommer fra vårt HR-system. Svarene på undersøkelsene kommer direkte fra den registrerte.
5.3. Markedsføring
Edsbyn Senab bruker personopplysninger for å markedsføre sine tjenester i digitale kanaler og gjennom fysiske utsendelser med tilbud og informasjon, ved å føre statistikk over sosiale medier samt skjemaer og undersøkelser.
Personopplysninger:
Navn, e-postadresser, telefonnummer, adresser, i enkelte tilfeller bilder.
Lovlig grunnlag:
Behandlingen skjer etter samtykke eller en interesseavveining.
Opplysningenes opprinnelse:
Fra de registrerte selv gjennom påmelding til nyhetsbrev eller selskap innen Edsbyn Senab-konsernet som vedkommende har hatt kontakt med. Bilder tas iblant av Edsbyn Senabs ansatte, kunder, leverandører, forhandlere, besøkende og allmennheten.
5.4. Betalinger
For å håndtere betalinger behandler Edsbyn Senab personopplysninger.
Personopplysninger:
Kontonummer, navn, e-postadresse, telefonnummer.
Lovlig grunnlag:
For å handle med tjenester og varer og oppfylle avtaler ved å få betalt eller sikre sin egen betaling, må Edsbyn Senab håndtere personopplysninger knyttet til betalinger.
Opplysningenes opprinnelse:
Opplysningene kommer fra de registrerte selv ved ordrelegging eller betaling.
5.5. Kundeundersøkelser
For å forbedre sine tjenester sender Edsbyn Senab ut forespørsler om deltakelse i kundeundersøkelser.
Personopplysninger:
Navn, e-postadresse, svarresultat, selskap, sted.
Lovlig grunnlag:
Behandlingen skjer etter en interesseavveining.
Opplysningenes opprinnelse:
Opplysningene for utsendelse kommer fra de registrerte selv, som de har gitt til et selskap i konsernet. Svarene på undersøkelsene kommer direkte fra den registrerte.
5.6. Håndtere krav
For å håndtere eventuelle rettslige krav som klager, reklamasjoner eller rettsprosesser, kan Edsbyn Senab ha behov for å behandle personopplysninger.
Personopplysninger:
Navn, adresse, e-postadresse, telefonnummer, kontonummer, hendelsesforløp, stedsinformasjon.
Lovlig grunnlag:
Behandlingen er nødvendig for å ivareta Edsbyn Senabs berettigede interesse av å fastsette, gjøre gjeldende og utøve rettslige krav.
Opplysningenes opprinnelse:
Opplysningene kan komme fra de registrerte selv, men også fra myndigheter eller andre aktører som for eksempel forsikringsselskaper.
5.7. Informasjonskapsler m.m.
For å forbedre brukeropplevelsen i de digitale kanalene samler Edsbyn Senab inn tekniske data.
Personopplysninger:
IP-adresser, informasjonskapsler, nettleserinformasjon, enhets-ID-er.
Lovlig grunnlag:
Avhengig av hvilken type tekniske data som samles inn, skjer behandlingen enten etter en interesseavveining eller samtykke.
Opplysningenes opprinnelse:
De registrerte selv ved bruk av de digitale kanalene.
6. Mottakere som Edsbyn Senab kan dele informasjon med
6.1. Konsernselskaper
Edsbyn Senab er konsernets morselskap, men konsernselskapene samarbeider også med hverandre, blant annet om bestillinger og markedsføring. Konsernselskapene kan dele data med morselskapet og hverandre og kan komme til å behandle personopplysninger på hverandres vegne.
6.2. Tjenesteleverandører
For å kunne levere sine tjenester får Edsbyn Senab hjelp av ulike leverandører til blant annet IT-løsninger som forretningssystem, fakturasystem, HR-system, nettverk, lagringstjenester, trykkerier og e-posttjenester. Leverandørene får bare behandle personopplysningene etter Edsbyn Senabs uttrykkelige instruksjoner og får ikke behandle opplysningene for egne formål. Samtlige er også bundet av lov og avtale til å beskytte personopplysninger.
6.3. Betalingsmottakere og leverandører av betalingstjenester
Ved betalinger kan personopplysninger deles mellom betalingsmottakeren og selskapet samt begge parters banker.
6.4. Øvrige mottakere
Edsbyn Senab kan i enkelte tilfeller også dele opplysninger med andre mottakere, fremfor alt myndigheter på grunn av lovkrav eller i forbindelse med rettslige prosesser. Personopplysninger kan også komme til å deles med potensielle kjøpere og selgere av hele eller deler av virksomheten.
7. Tekniske og organisatoriske tiltak
Edsbyn Senab er opptatt av kunders og ansattes personvern og iverksetter egnede tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger mot uautorisert tilgang, endring, spredning eller ødeleggelse. Blant annet finnes rutiner og tilgangsbegrensninger som hindrer uautorisert tilgang.
8. Hvor behandler Edsbyn Senab personopplysninger?
Edsbyn Senabs mål er at samtlige personopplysninger behandles innenfor EU/EØS-området. Enkelte leverandører kan imidlertid komme til å behandle personopplysninger utenfor EU/EØS-området. I slike tilfeller sørger vi alltid for at opplysningene er beskyttet og at det finnes vernetiltak på plass, gjennom avtaler som stiller de samme kravene som reglene innen EU.
9. Hvor lenge lagres personopplysninger?
Edsbyn Senab behandler personopplysninger så lenge det finnes et forhold til den registrerte og en tid deretter, så lenge det finnes et lovlig grunnlag. Dersom det ikke lenger finnes en grunn til å behandle personopplysninger, slettes de.
10. Rettigheter
Edsbyn Senab vil minne om rettighetene GDPR gir personer som får sine personopplysninger behandlet.
10.1. Tilgang til personopplysninger
Som registrert har du rett til å be om bekreftelse på om vi behandler personopplysninger om deg eller ikke. Dersom vi gjør det, har du rett til å få se hvilke opplysninger vi behandler om deg gjennom et registerutdrag. Dette skal leveres innen 1 måned etter at forespørselen er rettet til selskapet.
10.2. Retting
Dersom en opplysning er feil eller ufullstendig, har du rett til å be om at den rettes.
10.3. Tilbakekalle samtykke
Dersom vi behandler dine personopplysninger med samtykke som lovlig grunnlag for behandlingen, har du rett til når som helst å tilbakekalle samtykket med fremtidig virkning.
10.4. Motsette seg behandling for direkte markedsføring
Registrerte har rett til å motsette seg at behandling av personopplysninger skjer for direkte markedsføring. Dette gjøres enklest ved å melde seg av utsendelser ved å klikke på avregistreringslenken i utsendelsen eller kontakte oss.
10.5. Rett til å klage til tilsynsmyndighet
Den registrerte har også rett til å henvende seg direkte til tilsynsmyndigheten for å klage. Tilsynsmyndigheten skal da utrede det som har skjedd.
10.6. Motsette seg behandling som støtter seg på Edsbyn Senabs berettigede interesse
Som registrert har du rett til å motsette deg behandling som støtter seg på en berettiget interesse dersom det finnes grunner i ditt spesifikke tilfelle som taler mot behandlingen. Dersom du motsetter deg behandlingen og det finnes tvingende berettigede grunner som veier tyngre, kan vi imidlertid fortsette behandlingen.
10.7. Sletting
Registrerte har rett til å be om, og under visse omstendigheter få, sine personopplysninger slettet. Et unntak er dersom vi etter loven er forpliktet til å bevare opplysningene.
10.8. Begrensning av behandling
Registrerte har rett til å be om at behandlingen av dennes personopplysninger begrenses.
10.9. Dataportabilitet
Registrerte har også rett til å få kopier av sine personopplysninger i et strukturert, alminnelig brukt og maskinlesbart format. Denne retten omfatter bare personopplysninger som den registrerte selv har gitt oss, og der det lovlige grunnlaget enten er samtykke eller at det finnes en avtale.
11. Endringer i denne personvernerklæringen
Denne erklæringen gjennomgås jevnlig for å ta hensyn til endringer i vår virksomhet eller praksis og for å sørge for at den fortsatt er hensiktsmessig i forhold til endringer i lov, teknologi og forretningsmiljø. All informasjon vi besitter reguleres av vår nyeste erklæring.
For å ivareta dine rettigheter eller for spørsmål, ta kontakt med Edsbyn Senab.
Behandlingsansvarlig:
Edsbyn Senab AB, 556755-0081
Postadresse: Box 300, 828 25 Edsbyn
E-post: gdpr@edsbynsenab.com
Telefon: 0271-275 00