Personvernerklæring

Formål

Denne personvernerklæringen gjelder for Avoki HoldCo AB (559039–2311) eller annet selskap som inngår i samme konsern som nevnte selskap (heretter "Avoki", "vi", "vår", "oss").

Personvernerklæringen er vedtatt av ledelsen og oppdateres ved behov. Erklæringen gir generell informasjon om hvordan selskapet behandler interne og eksterne personopplysninger.

Innen selskapet og dets virksomhet behandles personopplysninger. Opplysningene behandles blant annet for at selskapet skal kunne oppfylle inngåtte avtaler med kunder, leverandører og ansatte, samt på grunn av forpliktelser i henhold til lov. Som utgangspunkt er Avokis kunder ansvarlige for behandlingen av personopplysninger som gjøres under avtale mellom oss og våre kunder. For slike behandlinger inngår selskapet databehandleravtaler med sine kunder og behandler opplysningene etter instruksjon fra og på vegne av kunden.

Denne generelle personvernerklæringen gjelder når vi behandler personopplysninger på eget ansvar, det vil si når Avoki er behandlingsansvarlig. Personvernerklæringen gjelder for alle ansatte og innleid personell hos oss, inkludert bedriftsledelse, tjenestemenn, ansatte og andre personer som handler på vegne av eller for selskapet.

Det overordnede formålet med denne personvernerklæringen er å fastsette roller og ansvarsområder innen vår organisasjon, samt å fastsette de normene og prinsippene som skal sikre at innsamling og behandling av personopplysninger innen selskapet skjer i samsvar med gjeldende databeskyttelseslovgivning (i henhold til definisjonen nedenfor).

Definisjoner

Behandling (av personopplysninger) er enhver handling eller serie av handlinger som utføres i forbindelse med personopplysninger, enten de skjer automatisk eller ikke, for eksempel innsamling, registrering, organisering, lagring, bearbeiding, endring, begrensning, justering, sletting eller ødeleggelse, utlevering gjennom overføring, spredning eller annen formidling av opplysninger, sammenstilling eller sammenkobling.

Behandlingsregister refererer til registeret som hver systemeier innen selskapet er pålagt å føre for personopplysningsbehandlinger i henhold til artikkel 30 i GDPR.

Databeskyttelseslovgivning refererer til Europaparlamentets og rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer med hensyn til behandling av personopplysninger og om fri flyt av slike opplysninger ("GDPR") og enhver annen nasjonal eller europeisk lov, forskrift eller direktiv som til enhver tid gjelder for selskapets behandling av personopplysninger.

Personopplysninger er enhver informasjon som gjelder en identifisert eller identifiserbar fysisk person som er i live. Med identifiserbar fysisk person menes en person som direkte eller indirekte kan identifiseres, særlig med henvisning til en identifikator som et navn, et identifikasjonsnummer, et lokaliseringspunkt eller online-identifikatorer, eller en eller flere faktorer som er spesifikke for den fysiske personens fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

Personopplysningsansvarlig er den juridiske personen som alene eller sammen med andre bestemmer formålet med og midlene for behandlingen av personopplysninger.

Personopplysningsbehandler er en juridisk person som behandler personopplysninger på vegne av den personopplysningsansvarlige, for eksempel Avokis leverandører.

Datatilsynet utfører kontroller basert på klager fra enkeltpersoner, informasjon i massemedier eller på eget initiativ. Tiltakene inkluderer inspeksjoner på feltet og inspeksjoner gjennom spørreskjemaer eller annen kontroll via e-post, telefon eller brev.

Grunnleggende prinsipper for Avokis behandling av personopplysninger.


Vi skal til enhver tid følge gjeldende personvernlovgivning ved behandling av personopplysninger.

Vi skal kun behandle personopplysninger på en lovlig, korrekt og åpen måte i forhold til den registrerte og den personopplysningsansvarlige. Dette innebærer blant annet at vår behandling av personopplysninger skal følge følgende grunnleggende prinsipper:

Dokumentert personopplysningsansvar: For hver behandling av personopplysninger, der vi bestemmer formål og midler, skal det finnes ett eller flere selskaper innenfor virksomheten som er vurdert som personopplysningsansvarlig. Ansvarsforholdet for behandlinger der et selskap innenfor virksomheten er personopplysningsansvarlig skal dokumenteres i Behandlingsregisteret.

  • Lovlig grunnlag: Hver behandling av personopplysninger skal utføres med støtte fra et dokumentert lovlig grunnlag.
  • Formålsbegrensning: Opplysningene skal samles inn for spesifikke, uttrykkelig angitte formål og skal ikke behandles senere på en uforenlig måte.
  • Opplysningsminimering: Kun personopplysninger som er tilstrekkelige, relevante og ikke for omfattende i forhold til formålet skal samles inn.
    Korrekthet: Opplysningene skal være korrekte og oppdaterte, og det skal være mulig å spore endringer.
  • Lagringsminimering: Opplysningene skal ikke lagres lenger enn nødvendig i forhold til formålet.
  • Konfidensialitet: Personopplysninger skal beskyttes av egnede tekniske og organisatoriske sikkerhetstiltak for å hindre uautorisert eller ulovlig behandling samt tap, ødeleggelse eller forfalskning av opplysningene.

Når behandling av personopplysninger er lovlig
2.1 Generelt om lovlig grunnlag

Behandling av personopplysninger er kun lovlig dersom minst ett av følgende vilkår er oppfylt:

  • Den registrerte har gitt sitt samtykke til at personopplysningene behandles for ett eller flere spesifikke formål.
  • Behandlingen er nødvendig for å oppfylle en kontrakt der den registrerte er part, eller for å iverksette tiltak på forespørsel fra den registrerte før en slik kontrakt inngås.
  • Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den personopplysningsansvarlige.
  • Behandlingen er nødvendig for å beskytte interesser som er av grunnleggende betydning for den registrerte eller for en annen fysisk person.
  • Behandlingen er nødvendig for å utføre en oppgave som er av allmenn interesse eller som et ledd i den personopplysningsansvarliges myndighetsutøvelse.
  • Behandlingen er nødvendig for formål som vedrører den personopplysningsansvarliges eller en tredjeparts berettigede interesser, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter veier tyngre og krever beskyttelse av personopplysninger.

Det lovlige grunnlaget for vår behandling av personopplysninger skal avgjøres og dokumenteres i den personopplysningsansvarliges behandlingsregister. Ved usikkerhet skal samråd tas med Avokis General Privacy Manager (GPM).

2.2 Lovlig grunnlag for behandling av personopplysninger ved rekruttering

Behandlingen er nødvendig for å kunne håndtere søknaden din når du søker jobb hos oss, og den baseres på det samtykke du gir i forbindelse med søknaden. Vi har ikke interesse av å få kjennskap til medlemskap i fagforeninger, trosoppfatning, seksuell legning, politiske meninger, eventuelle sykdommer eller andre opplysninger som er irrelevante for rekrutteringen. Derfor er det viktig at du ikke gir slike sensitive personopplysninger i forbindelse med søknaden eller i senere kommunikasjon i rekrutteringsprosessen. Personnummer skal ikke sendes med, fødselsdato er tilstrekkelig.

For enkelte spesifikke behandlinger kan du få ytterligere, supplerende eller avvikende informasjon om behandlingen av dine opplysninger.

De registrertes rettigheter
En grunnleggende del av personvernregelverket er at det gir de registrerte visse lovfestede og tvungne rettigheter når deres personopplysninger behandles.

Dersom en person ønsker å vite hvilke opplysninger som er registrert om vedkommende, skal personen sende en skriftlig og egenhendig underskrevet forespørsel til Avoki.

Den registrerte har også rett til å trekke tilbake eventuelle samtykker som er gitt. Tilbaketrekking av samtykke påvirker ikke lovligheten av behandlingen som er basert på samtykke før det ble trukket tilbake.

Den registrerte har blant annet rett til:

  • Tilgang til personopplysningerDu har rett til å få bekreftet om personopplysninger som gjelder deg behandles, og dersom behandlingen finner sted, har du rett til å få tilgang til personopplysningene samt ytterligere informasjon om behandlingen.
  • DataportabilitetUnder visse omstendigheter har du rett til å få utlevert personopplysninger som du har gitt oss, for at du skal kunne overføre disse til en annen personopplysningsansvarlig.
  • Rettelse, sletting eller begrensning av behandlingDu har rett til å be om at dine personopplysninger rettes, slettes eller at behandlingen begrenses, samt rett til å protestere mot behandlingen.
  • Klage til tilsynsmyndighetenDu har rett til å klage til den nasjonale datatilsynsmyndigheten (i Norge Datatilsynet) dersom behandlingen av personopplysningene dine ikke overholder kravene i EU/EØS personvernregelverket.
  • Tilbaketrekking av samtykkeDu har rett til å trekke tilbake samtykket ditt dersom du har gitt samtykke til behandling av personopplysningene dine for bestemte formål.
  • Innvending mot interesseavveining Du har rett til å protestere mot behandling basert på interesseavveining i henhold til artikkel 6.1 f i GDPR.
  • Innvending mot direkte markedsføringDu har rett til å protestere mot behandling av dine personopplysninger for direkte markedsføringsformål. I så fall skal personopplysningene ikke lenger behandles for slike formål.

Lagring og sletting av personopplysninger
I henhold til personvernforordningen skal personopplysninger ikke lagres lenger enn det som er tillatt i henhold til lov, eller ellers nødvendig for de formålene som opplysningene behandles for. Opplysninger som ikke lenger kan lagres, skal permanent slettes og destrueres (sletting). Under spesifikke forutsetninger kan sletting gjennomføres ved at personopplysningene anonymiseres i stedet for å destrueres. Med anonymisering menes at all informasjon som gjør det mulig å spore opplysningene tilbake til en registrert, uopprettelig slettes.

Hvis det finnes spesifikke lover eller regler som krever lagring av personopplysninger i en viss periode, som for eksempel i skatte-, regnskaps- eller hvitvaskingslovgivningen, gjelder slike bestemmelser foran personvernforordningen. I regnskapsloven fremgår det for eksempel at regnskapsinformasjon skal lagres i syv år fra slutten av regnskapsåret.

Hovedregelen i selskapet er at personopplysninger som ikke omfattes av spesifikke lover eller regler (utover personvernforordningen), skal slettes når vi ikke lenger trenger opplysningene for å oppfylle formålet med behandlingen.

Sikkerhet ved behandling av personopplysninger

5.1 Generelt

Avoki skal iverksette egnede tekniske og organisatoriske tiltak for å hindre at personopplysninger blir ødelagt, endret eller manipulert. Dette innebærer at en sikkerhetsvurdering må gjøres fra tilfelle til tilfelle, og at ulike behandlinger/systemer krever forskjellige nivåer av sikkerhetstiltak avhengig av informasjonens følsomhet, risiko for innbrudd (og andre risikoer), samt sårbarhet.

5.2 Risikoanalyse

Før vi starter behandling av personopplysninger, skal en innledende risikoanalyse gjennomføres for å vurdere:

  • Hvilke tekniske og organisatoriske sikkerhetstiltak som er hensiktsmessige for den aktuelle behandlingen, basert på en vurdering av informasjonens følsomhet, relevante risikoer og sårbarhet.
  • Om behandlingen er tilpasset og oppfyller vårt krav til innebygd personvern (privacy by design) og informasjonssikkerhet.
  • Om behandlingen sannsynligvis medfører høy risiko for de registrertes rettigheter og friheter, for eksempel gjennom bruk av ny teknologi eller ved at de registrerte ikke kan forventes å vite at de blir behandlet. Dersom en slik høy risiko identifiseres, skal ansvarlig person informeres og vurdere om videre analyse i form av konsekvensvurdering (Data Protection Impact Assessment) er nødvendig.

Overføring av personopplysninger
6.1 Overføring til databehandlere

Avoki kan komme til å overføre personopplysninger til ekstern part som behandler personopplysninger på våre vegne og etter våre instruksjoner. En slik ekstern part er en databehandler for oss og skal alltid signere en databehandleravtale med Avoki. Avokis General Privacy Manager (GPM) har ansvaret for at denne malen holdes oppdatert i samsvar med gjeldende personvernlovgivning til enhver tid.

6.2 Overføring til parter med eget ansvar for personopplysninger

Avoki kan komme til å overføre personopplysninger til en annen ekstern part som har eget ansvar for personopplysningene, forutsatt at vi har en lovlig grunn for en slik overføring. En slik lovlig grunn kan for eksempel være at overføringen utgjør en lovbestemt forpliktelse for oss, eller et kundekontrakt som gir oss rett til å overføre opplysningene.

6.3 Overføring av personopplysninger til et tredjeland

Hvis og i den grad vår behandling av personopplysninger innebærer at personopplysninger overføres til, lagres eller på annen måte behandles utenfor EU/EØS-området, kreves ytterligere tiltak for at behandlingen skal være lovlig. Det er tilstrekkelig at personopplysningene er tilgjengelige fra et sted utenfor EU/EØS, eller at visse infrastrukturer eller ressurser befinner seg utenfor EU/EØS, for at ytterligere tiltak er nødvendige. Ved overføring av personopplysninger utenfor EU/EØS-området skal den registrerte informeres om formålet og omfanget av overføringen.
De tiltakene vi iverksetter for å sikre at behandling av personopplysninger utenfor EU/EØS er lovlig, skal alltid dokumenteres og godkjennes av Avokis General Privacy Manager (GPM).

6.4 Offentlige myndigheters forespørsler om opplysninger

Avoki og dens ansatte er forpliktet til å gi opplysninger om vår behandling av personopplysninger og relatert informasjon hvis IMY (Integritetsskyddsmyndigheten) ber om det. Andre myndigheter kan også ha rett til å få opplysninger som inneholder personopplysninger fra oss, for eksempel Kronofogdemyndigheten, Skatteverket eller Økokrim. Det kan også foreligge en forpliktelse til å utlevere informasjon til politiet eller påtalemyndigheten ved etterforskning av en forbrytelse, der informasjon bare skal utleveres etter skriftlig forespørsel fra etterforskningsleder eller påtalemyndigheten.

I tillegg til regelmessige og obligatoriske overføringer av personopplysninger til myndigheter som vi har en rettslig forpliktelse til å rapportere (for eksempel lønnsopplysninger til Skatteverket og opplysninger om sykefravær til Försäkringskassan), skal personopplysninger kun utleveres til myndigheter etter samråd med Avokis General Privacy Manager (GPM).
Avokis General Privacy Manager (GPM) har ansvar for kontakten med IMY. Alle kontakter med IMY, eller andre myndigheter angående spørsmål om behandling av personopplysninger, på vegne av Avoki, skal henvises til Avokis General Privacy Manager (GPM).

Rapportering
Avokis General Privacy Manager (GPM) skal årlig eller ved behov rapportere om vår behandling av personopplysninger, og umiddelbart rapportere om alvorlige mangler, integritetsrisikoer eller problemer skulle oppstå.

Rapporten skal inneholde resultatene fra oppfølgingen og kontrollen av personopplysninger som er gjort i henhold til denne personvernerklæringen, inkludert:

  • Om behandlingen er tilpasset og oppfyller våre krav til innebygd personvern (privacy by design) og informasjonssikkerhet.
  • Antallet hendelser med personopplysninger.
  • Vår etterlevelse av gjeldende personvernforordning og denne personvernerklæringen.
  • Eventuelle kontakter med Datatilsynet.
  • Endringer i gjeldende personvernlover og tilsynspraksis for behandling av personopplysninger.