Meny

Søk

Lister
0

Handlekurv

Løsninger

Hvordan å bruke

Kunnskapbank

Bli inspirert og flink

Kampanje

Våre unike tilbud
Personlig<br/>service

Personlig
service
Gratis rådgiving<br/>og support

Gratis rådgiving
og support
Genuin<br/>omtanke

Genuin
omtanke

Personvern

Personopplysningshåndtering under GDPR

Vi etterstreber å begrense innsamling av personopplysninger til det som er absolutt nødvendig for å tilby utmerket service til våre kunder, partnere og besøkende.

Sentrale begrep

GDPR kommer til anvendelse på behandling av personopplysninger som helt eller delvis skjer på automatisk (dvs. elektronisk) vis samt på ikke-automatisk behandling av personopplysninger som inngår i eller kommer til å inngå i et (manuelt) register.

 - Personopplysninger er i korthet alle opplysninger som kan knyttes til en (levende) person, f.eks. navn, e-post, adresse, IP-nummer, helseopplysninger eller en kombinasjon av opplysninger som innebærer at en person kan identifiseres.

 - Med «behandling» menes alle tiltak som treffes vedrørende personopplysninger, f.eks. innsamling, registrering, organisering, strukturering, lagring, bearbeiding eller endring, utarbeidelse, lesing, bruk, utlevering ved overføring, spredning eller levering på annen måte, justering eller sammenføyning, begrensning, sletting eller destruksjon.

Grunnleggende krav til personopplysningsbehandling

GDPR inneholder visse grunnleggende krav til all personopplysningsbehandling. Disse kravene utgjør grunnlaget for all personopplysningsbehandling.

(a) Opplysningene skal behandles på en lovlig, korrekt og åpen måte i forhold til den registrerte.

(b) Opplysningene skal innhentes for spesielle, uttrykkelig angitte og berettigede formål og ikke senere behandles på en måte som er uforenlig med disse formål.

(c) Opplysningene skal være adekvate, relevante og ikke for omfattende i forhold til de formål de behandles for.

(d) Opplysningene skal være korrekte og om nødvendig oppdaterte.

(e) Opplysningene får ikke oppbevares i en form som muliggjør identifisering av den registrerte i lengre tid enn det som er nødvendig for de formål personopplysningene behandles for, dvs. at opplysningene må sorteres ut etter en viss tid.

(f) Opplysningene skal behandles på en måte som sikrer egnet sikkerhet for personopplysningene, inkludert beskyttelse mot ubehørig eller ikke-tillatt behandling og mot tap, destruksjon eller skade ved uhell, med bruk av egnede tekniske eller organisatoriske tiltak.

Formål og juridisk grunnlag

Formål

Personopplysninger får kun innhentes for spesielle, uttrykkelig angitte og berettigede formål og ikke senere behandles på en måte som er uforenlig med disse formål. Kun den informasjon som trengs for å tilgodese formålet med innsamlingen skal behandles. Det er den personopplysningsansvarlige i bedriften som er ansvarlig for å definere formålene, at formålene er berettiget, og at behandlingen kun skjer i henhold til disse.

Juridisk grunnlag

Det må også foreligge et juridisk grunnlag for personopplysningsbehandlingen, I GDPR er det angitt hva som kan utgjøre juridisk grunnlag. Det vanligste juridiske grunnlaget er i korthet:

a) at behandlingen er nødvendig for å innfri en avtale,

b) at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse,

c) at det foreligger samtykke fra den registrerte,

d) at behandlingen er tillatt med støtte i en interesseavveining, noe som innebærer at den personopplysningsansvarlige har en berettiget interesse av behandlingen som veier tyngre enn den registrertes integritetsinteresse,

Når det gjelder «følsomme opplysninger» (i GDPR kalles disse «særskilte kategorier av opplysninger») finnes det særskilte regler som angir når disse får behandles. Følsomme opplysninger er opplysninger som avslører rase eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk overbevisning, biometriske opplysninger (f.eks. fingeravtrykk), medlemskap i fagforening eller personopplysninger som vedrører helse eller kjønnsliv. Direktronik lagrer ingen følsomme opplysninger.

Informasjonsplikt

Den personopplysningsansvarlige skal frivillig gi en viss informasjon til de personer hvis personopplysninger behandles, i forbindelse med at disse innhentes. Informasjonen skal gis i en konsis, klar og tydelig, forståelig og lett tilgjengelig form, med bruk av et klart og tydelig språk. Informasjonen skal regelmessig gis skriftlig. Informasjonen skal gis kostnadsfritt. GDPR inneholder spesifikke krav til hvilken informasjon som skal gis.

Overføring av personopplysninger til annen part

Mailchimp, Lizoft AB Authority AB, Liveagent, Postnord og Unifaun behandler personopplysninger på vegne av Direktronik og er dermed å anse som personopplysningsrepresentant for Direktronik.

Lagringssted og overføring til tredjeland

Direktronik lagrer personopplysningene på servere plassert i Sverige. Videre lagres opplysninger på servere som håndteres av Livagent, Hogia og Mailchimp. Mailchimp har sine i USA. Mailchimp tilbyr en plattform for e-postutsendelser og som har en server i USA. Mailchimp er, ifølge eget utsagn, Privacy Shield-sertifisert.

Utsortering

Personopplysninger får ikke oppbevares i en form som muliggjør identifisering av den registrerte i lengre tid enn det som er nødvendig for de formål personopplysningene behandles for. Det betyr at alle personopplysninger må utsorteres, dvs. avidentifiseres eller destrueres, når de ikke lenger trengs eller er blitt irrelevante i forhold til formålet.

Den registrertes rettigheter

Innledning

De registrerte har visse rettigheter som Direktronik er forpliktet til å etterkomme, f.eks. anmodning og registerutskrift og rettelse av personopplysninger.

Registerutskrift

Inneholde følgende opplysninger

a) Formålet med behandlingen.

b) De kategorier personopplysninger behandlingen gjelder.

c) De mottakere eller kategorier av mottakere personopplysningene er gitt eller skal gis til, spesielt mottakere i tredjeland eller internasjonale organisasjoner.

d) Om mulig den forutsette perioden der personopplysningene vil bli lagret eller, hvis dette ikke er mulig, de kriterier som benyttes for å fastsette denne perioden.

e) Forekomsten av retten til å be Direktronik rette eller slette personopplysningene eller begrensninger av behandling av personopplysninger som gjelder den registrerte eller til å innvende mot slik behandling.

f) Retten til å innlevere klage til en tilsynsmyndighet.

g) Dersom personopplysningene ikke innhentes fra den registrerte, all tilgjengelig informasjon hvor disse opplysningene kommer fra.

h) Forekomsten av automatisert beslutningstaken, inkludert profilering, der det minst i disse tilfeller skal gis meningsfull informasjon om logikken bak samt betydningen av og de forutsette følgene av slik behandling for den registrerte.

i) Dersom personopplysningene overføres til et tredjeland eller til en internasjonal organisasjon, skal den registrerte ha rett til informasjon om de egnede beskyttelsestiltakene som er truffet ved overføringen.

Lenke til skjema for å be om registerutskrift

Dataportabilitet – krever ikke avtale

Registrerte har rett til å få tilgang til visse personopplysninger i en «strukturert, allment brukt og maskinlesbart format». Retten til dataportabilitet gjelder kun når personopplysningsbehandlingen bygger på den registrertes samtykke eller på en avtale der den registrerte er part. Videre kreves det at behandlingen er automatisert.

Rettelse

Direktronik skal på den registrertes anmodning rette feilaktige personopplysninger som gjeler den registrerte, samt komplettere ufullstendige personopplysninger basert på den registrertes eventuelle kompletterende uttalelse.

Sletting - «retten til å bli glemt»

Den registrerte har rett til å få sine personopplysninger slettet i følgende tilfeller.

a) Personopplysningene er ikke lenger nødvendige for de formål de ble innsamlet eller behandlet på annen måte.

b) Den registrerte trekker tilbake det samtykke registreringen baserer seg på, og det ikke finnes noen annen juridisk grunn til behandlingen.

c) Den registrerte protesterer mot behandling som bygger på en interesseavveining, og det mangler tvingende berettigede grunner til behandlingen som veier tyngre enn den registrertes integritetsinteresse.

d) Den registrerte protesterer mot behandling av dennes personopplysninger til direkte markedsføring.

e) Personopplysningene er behandlet på ulovlig vis.

f) Personopplysningene må slettes for å oppfylle en rettslig forpliktelse i henhold til gjeldende lov som Direktronik omfattes av.

g) I visse tilfeller vedrørende barns personopplysninger.

Unntak Det finnes visse unntak fra retten til sletting. Unntak gjelder dersom behandlingen er nødvendig av ulike årsaker. F.eks. dersom behandlingen er nødvendig for at Direktronik skal kunne (i) oppfylle en rettslig forpliktelse som krever behandling i henhold til gjeldende lov, eller (ii) for å kunne fastslå, gjøre gjeldende eller forsvare rettslige krav.

Begrensning

Den registrerte har rett il å kreve at behandlingen av dennes personopplysninger begrenses i visse tilfeller, f.eks. dersom den registrerte bestrider personopplysningenes korrekthet, i et tidsrom som gir Direktronik mulighet til å kontrollere om personopplysningene er korrekte, eller dersom behandlingen er ulovlig og den registrerte motsetter seg at personopplysningene slettes og i stedet krever en begrensning av deres bruk.

Innvendinger, bl.a. mot direkte markedsføring

Den registrerte har, under visse forutsetninger, rett til når som helst å innvende mot behandling av personopplysninger vedrørende ham eller henne. Denne retten omfatter blant annet retten til at når som helst å innvende mot behandling av personopplysninger til direkte markedsføring.

Profilering

Den registrerte har rett til ikke å bli gjenstand for en beslutning som kun bygger på automatisert behandling, inkludert profilering, som har juridiske følger for ham eller henne eller på liknende måte i betydelig grad påvirker ham eller henne.

Les mer om vårt personvern i menyen