Personvern er retten til et privatliv og retten til å bestemme over egne personopplysninger.
Personopplysninger er opplysninger og vurderinger som kan knyttes til en enkeltperson.
Moestue Group AS med alle hel og deleide selskap (heretter MG) behandler personopplysninger som arbeidsgiver, som leverandør av tjenester, i markedsføringsøyemed og i forbindelse med besøk på vår hjemmeside, www.moestuegroup.com Personvern er viktig i MGs leveranser og vi er opptatt av å verne om personopplysningenes integritet, tilgjengelighet og konfidensialitet.
Denne personvernerklæringen gir utfyllende opplysninger om hvilke personopplysninger som samles inn, hvordan opplysningene samles inn og beskyttes, og hvilke rettigheter du har dersom personopplysninger om deg er registrert hos oss.
Hvilke behandlinger av personopplysninger foretas av MG?
KUNDE- OG LEVERANDØROPPLYSNINGER
MG behandler personopplysninger om kunder og leverandører, i tillegg til eventuell tredjeperson som er nødvendig for gjennomføring av kontraktsforpliktelser.
Blant opplysningene som behandles er kontaktinformasjon om kunder og leverandører. Med kontaktinformasjon menes navn på kontaktperson, e-postadresse, telefonnummer og stillingstittel. Det rettslige grunnlaget for slik behandling er GDPR Artikkel 6 bokstav b, c og f, samt GDPR Artikkel 9 bokstav a og b. Personopplysningene lagres i konsernets ERP system og i konsernets CRM system og slettes ti år etter avslutning av kundeforholdet dersom ikke annet er skriftlig avtalt.
Dersom du som kunde har tilgang til MGs Kundeportal, vårt digitale samhandlingssystem mellom MG og kunde, ber vi deg lese gjennom vilkår og betingelser for bruk av denne. Du får tilgang til vilkårene ved pålogging til portalen. Det presiseres at det ikke samles inn nye eller flere kategorier av personopplysninger ved bruk av Kundeportalen.
UNDERDATABEHANDLERE
MG kan komme til å bruke underdatabehandlere. Vi baserer oss på generell tillatelse til bruk av underdatabehandlere, jf. GDPR Artikkel 28.
Ved bruk av underdatabehandlere bekrefter vi at disse pålegges samme forpliktelser med hensyn til vern og bruk av personopplysninger og andre kundedata som MG.
Leverandører som opptrer som underdatabehandlere for MG skal kunne dokumentere gode interne rutiner for personvern og informasjonssikkerhet gjennom sertifiseringer, rapport fra uavhengig revisjon av leverandøren, eller annen relevant dokumentasjon. MG kan gjennomføre sikkerhetsrevisjoner for å påse at leverandøren behandler personopplysninger i tråd med kravene i GDPR.
En oversikt over underdatabehandlere som benyttes av MG pr. 1. januar 2023 følger i tabellen nedenfor. Det presiseres at hvilke underdatabehandlere som benyttes avhenger av hvilke tjenester vi leverer, og vil derfor variere fra kunde til kunde.
Navn | Type behandling | Type tjeneste | Lokasjondatasenter | Hjemmeside |
Advania | Leverandør av IT infrastruktur, herunder drift av applikasjoner, lagring og sikkerhetskopiering av data. | Alle | Norge | www.advania.no |
rosoft Azure | Lagring av kundedata. | Alle | Nederland / Irland | www.microsoft.com/en-us/trustcenter |
inCreo | Drift og utvikling av nettsider. | Alle | Norge | https://www.increo.no |
Easyweb | Drift og utvikling av nettsider. | Alle | Norge | www.easyweb.no |
Ramsalt | Drift og utvikling av nettsider | Alle | Norge | www.ramsalt.no |
Drift og utvikling av sosial plattform | Irland | www.facebook.com | ||
Drift og utvikling av sosial plattform | Irland | www.instagram.com | ||
Continia | Behandling av inngående og utgående faktura, og behandling av øvrig regnskapsdata. | Regnskaps tjenester | Norge | Moestue Group server |
Visma.net | Behandling av reiseregninger. |
Regnskaps /lønnstjenester | Nederland / Irland | https://www.visma.com/ |
Visma eAccounting | Regnskaps /lønnssystem. | Regnskaps /lønnstjenester | Nederland / Irland | https://www.visma.com/ |
Microsoft Navision | Skybasert regnskaps system | Regnskaps tjenester | Norge | Moestue Group server |
Sticos | Skybasert HMS system. | Personal HMS system | Norge | www.sticos.no |
House of Control | Avtaleadministrasjons system | Avtalehåndtering | Norge | https://app.houseofcontrol.no/#/dashboard |
SuperOffice | CRM system | CRM system | Norge | www.superoffice.no |
Mailchimp | Abonnement system | Utsendelse av informasjon | www.mailchimp.com | |
Teletopia | SMS utsendinger | Utsendelse av informasjon | Norge | www.teletopiasms.no |
Flickr | Lagring av bilder | Lagring av bilder | USA | Bør avvikles www.flickr.com |
Informasjonskanal | Informasjonkanal | USA | www.twitter.com | |
Deltager.no | Registrering av deltagere | Registrering av og betaling fra deltagere | Norge | www.deltager.no |
Monday.com | Prosjektstyringssystem | Prosjektverktøy | Irland | www.monday.com |
Finn | Rekrutteringssystem | HR | Norge | finn.no |
BEHANDLING AV PERSONOPPLYSNINGER SOM LEDD I PERSONALADMINISTRASJON
MG behandler personopplysninger som ledd i personaladministrasjon. Personopplysningene som behandles i denne forbindelse er blant annet personalia, lønnsopplysninger, evalueringer, opplysninger om pårørende, og utdannelse/stillingsnivå. Det rettslige grunnlaget for denne behandlingen er oppfyllelse av arbeidsavtalen, jf GDPR Artikkel 6 bokstav b og c. Personopplysninger tilknyttet personaladministrasjon blir oppbevart så lenge vedkommende er ansatt hos MG, og slettes 5 år etter vedkommende har sluttet hos MG.
BEHANDLING AV PERSONOPPLYSNINGER I FORBINDELSE MED MARKEDSFØRING OG BRUK AV MOESTUEGROUP.COM
MG behandler personopplysninger i markedsføringsøyemed. Disse personopplysningene kan bli utvekslet mellom selskap i MG gruppen, men vil ikke bli utlevert til andre eksterne virksomheter.
Nyhetsbrev og seminarinvitasjoner
Det er mulig å frivillig abonnere på nyhetsbrev, invitasjoner til arrangementer og annet fagstoff fra MG. Dersom det ikke foreligger et eksisterende kundeforhold innebærer dette at du samtykker til å jevnlig motta e-post med de nyhetsbrevene du har valgt å abonnere på. Det rettslige grunnlaget for denne behandlingen er GDPR Artikkel 6 bokstav a. Du kan når som helst trekke ditt samtykke for oppbevaring av dine kontaktopplysninger. MG vil da slette din kontaktinformasjon fra adresselisten til det aktuelle nyhetsbrevet. I tilfeller der det foreligger et eksisterende kundeforhold har MG en berettiget interesse i å markedsføre seg overfor sine kunder. Det rettslige grunnlaget for denne behandlingen er GDPR Artikkel 6 bokstav f. Du kan når som helst be om å bli slettet fra vår mailingliste. For å kunne sende nyhetsbrevene til riktig person er det nødvendig å registrere seg med navn og e postadresse, bedriftsnavn og stillingstittel, og ved påmelding til et av våre arrangementer vil vi også kunne be om ditt telefonnummer, adresse og fødselsdato. Disse opplysningene lagres i en egen database og vil ikke bli videreformidlet til andre. Du kan når som helst be om innsyn i disse opplysningene og be om at informasjonen slettes. Personopplysningene vi har lagret om deg som har samtykket til å motta våre nyhetsbrev og invitasjoner lagres så lenge du er abonnent.
Forespørsler og kjøp via nettsiden
Ved bruk av skjema «Kontakt oss» på moestuegroup.com, må du oppgi navn og e-postadresse. Opplysningene lagres i nettsidens database som administreres av MGs webredaktør, og vil ikke bli videreformidlet til andre utenfor MG. Informasjonen slettes fortløpende fra databasen. Det er mulig å kjøpe produkter fra moestuegroup.com. For at vi skal kunne behandle din bestilling er det nødvendig at du oppgir informasjon om deg og ditt selskap. Det rettslige grunnlaget for denne behandlingen er GDPR Artikkel 6 bokstav b.
Adresseregister – Potensielle kunder
MG lagrer kontaktinformasjon til potensielle kunder. Opplysningene er hentet fra offentlig tilgjengelig kilder, eksempelvis virksomheters nettside. Formålet med denne behandlingen av personopplysninger er å drive markedsføring for våre produkter. Det rettslige grunnlaget for denne behandlingen er GDPR Artikkel 6 bokstav f. MG har en berettiget interesse i å markedsføre seg ovenfor potensielle kunder. Dersom du ikke ønsker å være en del av MGs adresseregister, kan du be om å bli slettet fra dette. Personopplysningene knyttet til potensielle kunder slettes innen ett år etter at de ble lagt inn i databasen, så fremt det ikke etableres et kundeforhold eller samtykke til fortsatt lagring er gitt.
Adresseregister – Mediekontakter og influensere
MG lagrer kontaktinformasjon til mediekontakter og influensere. Opplysningene er hentet fra offentlig tilgjengelig kilder, eksempelvis nettside eller på initiativ fra den enkelte. Formålet med denne behandlingen av personopplysninger er å drive opplysningsarbeid om våre produkter. Det rettslige grunnlaget for denne behandlingen er GDPR Artikkel 6 bokstav f. MG har en berettiget interesse i ha en aktiv kontakt med media og influensere for å informere allmenheten om ulike produkter og egenskaper ved disse. Dersom du ikke ønsker å være en del av MGs adresseregister, kan du be om å bli slettet fra dette.
Adresseregister og allokeringshistorikk– Allokeringskunder
MG lagrer kontaktinformasjon og allokeringsinformasjon om privatpersoner som har bedt om å stå på allokeringslister. Opplysningene er gitt av den enkelte. Det rettslige grunnlaget for denne behandlingen er GDPR Artikkel 6 bokstav a. Dersom du ikke ønsker å være en del av MGs adresseregister, kan du be om å bli slettet fra dette. Dersom du ikke har benyttet deg av allokeringstilbudet i løpet av 5 år, vil alle dine opplysninger slettes dersom ikke annet er skriftlig avtalt.
Webanalyse og informasjonskapsler (Cookies)
På MGs nettsider http://www.moestuegroup.com logger vi informasjon om alle besøkende ved hjelp av Google Analytics, Google Tags Manager og Albacross' cookie. Informasjonen som logges er ikke knyttet opp mot den besøkende og kan ikke spores tilbake til deg som enkeltperson. Informasjonen samles inn for bedre å kunne forstå hvordan våre brukere benytter nettstedet, slik kan vi tilpasse sidene optimalt til deg som bruker. Som de fleste andre nettsider, benytter vi en metode der informasjonen lagres i en informasjonskapsel på din PC. De fleste nettlesere er stilt inn til å godta informasjonskapsler fra nettsteder. Du kan slette lagrede informasjonskapsler ved å følge instruksjonene for sletting i din nettleser. Informasjon om dette finnes i hjelpefunksjonen i nettleseren din. Vær oppmerksom på at å begrense tilgangen til informasjonskapsler kan påvirke funksjonaliteten på nettstedet vårt. Besøkenes IP-adresse lagres normalt ikke, med noen unntak:
- Applikasjonsfeil; feillogg og IP-adresse opprettes for å kunne undersøke feilen.
- Dersom systemets brukerlogg og sporing (EMS) aktiveres.
- Handlinger og IP-adresse til «Back-end users», slik som webredaktør og administratorer, lagres.
Barns personvern
Vår nettside er ikke konstruert for eller rettet mot barn under 18 år, og vi vil aldri bevisst samle inn eller vedlikeholde informasjon om barn under 18 år.
Behandling av opplysninger der MG er arrangør
MG har arrangementer der man kan møte produsenter, ansatte og andre personer med interesse for produkter importert av MG. Slike arrangementer vil kunne inneholde smaking av drikkevarer (med og uten alkohol) og også i kombinasjon med mat. Det kan også være kurs tilrettelagt for videreutdanning. Hensikten med slike arrangementer er å øke kompetansen rundt MGs produkter og fagfeltene generelt. Personopplysninger tilknyttet arrangementer oppbevares i 1 år etter at kurset ble gjennomført. Disse opplysningene lagres i en egen database og vil ikke bli videreformidlet til andre.
Behandling av personopplysninger knyttet til jobbsøkere
Ved registrering og/eller abonnering på ledige stillinger/vikariater hos MG, samt ved innsending av CV, søknad og andre relevante dokumenter i forbindelse med jobbsøknad samles det inn personopplysninger. Personopplysninger som behandles i forbindelse med rekruttering er blant annet personalia og jobb- og utdanningsdetaljer. I enkelte tilfeller gjennomføres det personlighetstest av aktuelle kandidater, og MG behandler med dette resultater knyttet til testene. Personopplysningene innhentes fra jobbsøkerne. I tilfeller der MG benytter leverandør av rekrutteringstjenester vil behandlingen være bundet av databehandleravtale. Opplysningene vil ikke bli brukt til annet formål enn behandling knyttet til jobbsøking. Personopplysninger om søkere til stillinger blir slettet ett år etter at vedkommende søkte på stilling hos MG, med mindre vedkommende blir ansatt eller samtykker til at opplysningene oppbevares lengre. Det presiseres at jobbsøkere kan få opplysningene slettet når de måtte ønske det.
Overføring/utlevering av personopplysninger
OVERFØRING TIL TREDJELAND
Vi overfører ikke personopplysninger til land utenfor EU/EØS uten skriftlig godkjenning fra behandlingsansvarlige. Ved overføring til tredjeland skal det inngås avtale om overføringsgrunnlag, for eksempel Datatilsynets standardkontrakter for overføring av personopplysninger utenfor EU/EØS, Binding Corporate Rules (BCR) eller Privacy Shield.
UTLEVERING
MG utleverer ikke personopplysninger til andre med mindre det er lovpålagt ved lov.
Informasjonssikkerhet
Vi er opptatt av informasjonssikkerhet, og har implementert rutiner for å sikre konfidensialitet og integritet i våre kunders data. MG har sikringsmekanismer som innebærer både organisatoriske og tekniske tiltak slik som rolle- og tilgangsstyring og krav til innebygget personvern i våre IT-systemer. Materiale som inneholder sensitive personopplysninger eller personnummer og overføres til eller fra MG skal alltid sikres mot innsyn ved hjelp av kryptering. Utvidet informasjon om informasjonssikkerhet i MG er tilgjengelig for våre kunder på forespørsel. Dine rettigheter MGs behandling av personopplysninger er regulert av personopplysningsloven med tilhørende forskrift.
Dine rettigheter
knyttet til vår behandling av personopplysninger fremgår blant annet av GDPR Kapittel III. Nedenfor presenteres noen av de mest sentrale rettighetene:
Rett til innsyn
Enhver som ber om det har krav på å få vite hva slags behandling av personopplysninger MG foretar, samt grunnleggende informasjon om disse behandlingene. Slik informasjon er gitt i denne personvernerklæringen. Det er kun i tilfeller der MG er behandlingsansvarlig at vi kan forvalte krav om innsyn. I tilfeller der MG er databehandler, skal forespørsler om innsyn rettes til behandlingsansvarlig. Som databehandler kan vi ikke gi i innsyn i personopplysninger til den registrerte uten at oppdragsgiver er orientert og godkjenner innsynet. Dersom du er registrert i MGs systemer har du krav på å få vite hvilke opplysninger om deg som er registrert og hvilke sikkerhetstiltak som foreligger ved behandlingen så langt slikt innsyn ikke svekker sikkerheten. Du kan kreve at den behandlingsansvarlige utdyper informasjonen som nevnt ovenfor i den grad dette er nødvendig for at du skal kunne vareta egne interesser.
Rett til retting og sletting
Dersom MG behandler personopplysninger om deg som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, kan du innenfor de begrensninger som er fastsatt i personopplysningsloven, EUs personvernforordning (GDPR) og annen lovgivning kreve å få rettet eller slettet personopplysninger. Videre kan du kreve sletting dersom behandling av personopplysningene ikke lenger er nødvendig for å oppfylle formålet de ble samlet inn for, eller dersom behandlingen baserer seg på ditt samtykke og du trekker dette tilbake. Behandlingen vil være nødvendig dersom den er lovpålagt. Ved krav om retting og sletting i oppdrag der MG er databehandler, skal den registrerte som hovedregel henvende seg direkte til behandlingsansvarlig. MG skal svare på henvendelser om innsyn eller andre rettigheter etter GDPR Artikkel 15, 16, 17 og 20 uten ugrunnet opphold, og senest innen 30 dager fra den dagen henvendelsen kom inn, med mindre særlige forhold gjør det umulig å svare på henvendelsen innen denne fristen. MG skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.
Kontaktinformasjon
Vi legger opp til at våre kunder skal benytte sin faste kontaktperson i MG for spørsmål vedrørende MGs behandling av personopplysninger, og disse vil involvere andre i organisasjonen ved behov. Henvendelser om forespørsler om innsyn, retting og sletting, og avviksmeldinger skal rettes til personvern@moestue.com eller til Moestue Group AS v/Daglig Leder, Bygdøy Alle 23, 0262 Oslo.
Endringer i personvernerklæringen
Det kan forekomme endringer i vår personvernerklæring. Dato for siste endring er [b]01.01.2023[/b]. Vi oppfordrer interesserte til å jevnlig undersøke vår nettside for endringer.