Personvernerklæring for Stendi AS og datterselskap
Ditt personvern er viktig for oss. Nedenfor kan du lese mer om hvordan vi aktivt jobber med å ivareta ditt personvern. Vi vil blant annet forklare hvordan og hvorfor vi samler inn og bruker personopplysninger om deg, og hvorfor vi har rett til å behandle disse personopplysningene.
1. Hva er personopplysninger?
Personopplysninger er enhver opplysning som direkte eller indirekte kan knyttes til deg som enkeltperson. Det kan være ditt navn, din kontaktinformasjon, eller vurderinger knyttet til deg.
Vi behandler personopplysninger om deg når du er i kontakt med oss enten du besøker våre nettsider, søker jobb hos oss eller er samarbeidspartner, oppdragsgiver eller leverandør.
2. Hvem er ansvarlig for behandlingen?
Stendi AS og datterselskap Stendi Assistanse AS er behandlingsansvarlig for all behandling av personopplysninger der vi selv bestemmer formålet med behandlingen av opplysningene og virkemidlene vi benytter til dette. Med “behandling” av personopplysninger menes enhver bruk av personopplysninger, for eksempel innsamling, registrering, lagring, sammenstilling, utlevering og sletting.
Som behandlingsansvarlig vil vi sørge for at personopplysninger blir behandlet i henhold til gjeldende regelverk, blant annet EUs personvernforordning (“GDPR“), den norske personopplysningsloven og annen personvernrelevant særlovgivning innen helse- og omsorgssektoren.
Noen ganger behandler vi personopplysninger på vegne av andre. I slike tilfeller regnes vi som databehandler og oppdragsgiveren vår som behandlingsansvarlig. Dette gjelder for eksempel når vi leverer omsorgstjenester på vegne av en offentlig instans. Vår personvernerklæring dekker ikke i slike tilfeller, men du finner informasjon i den behandlingsansvarliges personvernerklæring.
3. Hvilke personopplysninger behandler vi?
De personopplysningene vi normalt samler inn og behandler er:
- Grunnleggende personalia og kontaktinformasjon, slik som navn, personnummer, hjem- og postadresse, telefonnummer, e-postadresse, bosted og eventuelle andre kontaktopplysninger.
- Demografiske opplysninger, slik som fødselsdato, kjønn, sivilstatus, familie, bosituasjon og arbeidsgiver.
- Rekrutteringsinformasjon, slik som CV, referanser, personlige egenskaper, utdannelsesnivå og yrke.
- Informasjon om dine interesser/interesseområdet i forbindelse med webinarer og påmelding til webinarer.
- Opplysninger om dine besøk på våre nettsider og bruk av våre digitale tjenester, slik som dato og tid, maskinvare, operativsystem og nettleser, IP-adresser, skjermstørrelse etc.
- Eventuelle andre opplysninger samlet inn på grunnlag av ditt samtykke, f.eks. samtykke til å bruke bildet ditt eller til å lagre CVen din i systemet vårt etter avsluttet rekrutteringsprosess.
- Andre opplysninger du måtte gi til oss, for eksempel informasjon som du gir oss i forbindelse med møter, inkludert videomøter og telefonsamtaler.
4. Hvordan mottar vi personopplysninger om deg?
Vi kan motta dine personopplysninger på ulike måter:
- Vi mottar personopplysninger direkte fra deg i forbindelse med at du er i kontakt med oss. Disse opplysningene er nødvendige for at vi skal kunne følge opp dine henvendelser eller den kontakten vi på annen måte har med deg.
- Vi mottar personopplysninger indirekte fra deg når du benytter deg av våre tjenester, for eksempel våre nettsider. Disse opplysningene er viktige for å kunne forbedre og videreutvikle de tjenestene som vi tilbyr deg.
- Vi mottar personopplysninger fra andre kilder. For eksempel fra offentlige registre dersom dine opplysninger er tilgjengelige der.
5. Hvorfor vi har lov til å behandle personopplysninger?
For å samle inn, lagre, bruke og behandle personopplysningene dine på andre måter, må vi ha et lovlig grunnlag i GDPR. Det kalles også et behandlingsgrunnlag. Vi baserer vår behandling av personopplysninger på ett eller flere av de følgende grunnlagene:
- Du har gitt ditt samtykke til behandlingen av dine personopplysninger til et eller flere spesifikke formål (GDPR art. 6 (1) a).
- Behandlingen er nødvendig for å oppfylle en avtale med deg (GDPR artikkel 6 (1) b).
- Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler oss, herunder for eksempel å oppbevare opplysninger i henhold til bokføringslovgivningen (GDPR artikkel 6 (1) c).
- Behandlingen er nødvendig for å verne den registrertes eller annen fysisk persons vitale interesser (GDPR artikkel 6 (1) d).
- Behandlingen er nødvendig for formål knyttet til en berettiget interesse som forfølges av oss, betinget av at dine interesser eller grunnleggende rettigheter eller friheter ikke går foran og krever vern av dine personopplysninger (GDPR artikkel 6 (1) f).
Dersom vår behandling av dine personopplysninger baseres på ditt samtykke, har du når som helst rett til å trekke ditt samtykke tilbake.
6. Hvilke formål behandler vi personopplysningene dine til, hvorfor har vi lov og hvor lenge lagrer vi dem?
- Administrasjon og drift i Stendi
- Regnskapsførsel
Vi behandler personopplysninger om blant annet navn, kontaktinformasjon, kjøp, rolle hos våre kunder og leverandører for å føre regnskap i henhold til lovpålagte krav. Denne behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler oss som behandlingsansvarlig etter bokføringsloven og annen regnskapslovgivning, se GDPR art. 6 (1) c). Vi lagrer normalt opplysningene i enten fem år eller tre år og seks måneder, avhengig av hva slags regnskapsinformasjon det er snakk om.
- Inngåelse av avtaler med offentlige instanser
Når vi inngår avtaler om å levere tjenester har vi behov for å registrere navn og kontaktinformasjon til kontaktpersoner hos våre oppdragsgivere. Opplysningene brukes til å kommunisere med oppdragsgivere i den utstrekning det er nødvendig for å kunne oppfylle våre forpliktelser i avtalen, se GDPR artikkel 6 (1) b. Vi lagrer opplysningene så lenge kontaktpersonen er knyttet til en aktiv avtale. Kontaktopplysninger som er nedtegnet i den signerte avtalen vil bli arkivert og slettes ikke.
- Fosterhjem
Når du søker om å bli fosterhjem vil vi behandle ulike typer opplysninger om deg. I tillegg til kontaktinformasjon som navn, adresse, telefonnummer og e-post, vil vi samle inn opplysninger som kan si noe om din egnethet som fosterhjem. Disse opplysningene samler vi inn direkte fra deg og fra offentlig instanser som bernvernstjenesten i kommunen, NAV og Bufetat. Behandlingsgrunnlaget for den informasjonen vi samler inn ved søknad om fosterhjem er ditt samtykke, (GDPR art. 6 (1) a. Etter avtaleinngåelse vil vi behandle den informasjon som er nødvendig for å kunne følge opp deg som fosterhjem. Vi behandler også kontakt- og kontoopplysninger for å kunne utbetale lønn. Så lenge du er fosterhjem i Stendi er behandlingen av dine personopplysninger nødvendige for å kunne oppfylle avtalen vi har med deg, jf. GDPR artikkel 6 (1) b. Vi vil lagre informasjonen så lenge vi har en avtale med deg. Informasjon som er bokføringspliktig lagres i fem år.
- Rekruttering
Når du søker jobb hos oss eller vi tar initiativ til å rekruttere deg, samler vi inn og bruker personopplysninger for å gjennomføre rekrutteringsprosessen. Vi mottar, leser, vurderer og lagrer søknader, CV-er og referanser. Det rettslige grunnlaget for vår behandling er vår berettigede interesse i å identifisere og følge opp relevante kandidater etter GDPR artikkel 6 (1) f). Mot slutten av rekrutteringsprosessen er behandlingen nødvendig for å gjennomføre tiltak på den registrertes anmodning før ansettelsesavtalen inngås (GDPR artikkel 6 (1) b). Dersom du har sendt en åpen søknad til oss, vil vi basere lagringen av denne på ditt samtykke. Opplysningene lagres inntil rekrutteringsprosessen er ferdigstilt. En åpen søknad lagres i seks måneder før den slettes.
- Markedsføring
Vi sender ut nyhetsbrev til dem som har takket ja til å motta markedsføring fra oss. Mottakere av nyhetsbrevet kan enkelt melde seg av tjenesten ved å benytte link som er inkludert i hver enkelt henvendelse. I andre sammenhenger baserer vi markedsføringen vår på samtykke jf. markedsføringsloven § 15(1) og GDPR artikkel 6 nr. 1 a. Vi lagrer opplysningene fram til du trekker ditt samtykke.
Vi driver også markedsføring og annonsering på tredjepartplattformer. Dersom du aksepterer informasjonskapsler for markedsføring når du besøker våre nettsider, kan du være mottager av slike annonser. Behandlingsgrunnlaget er samtykket du gir når du besøker våre nettsider (GDPR art. 6 (1) a). Les mer om hvilke informasjonskapsler vi bruker her.
- Webinarer
Vi gir også våre brukere mulighet til å melde seg på webinarer og registrere interesse for kommende webinarer. I den forbindelse samler vi inn navn og e-postadresse, samt eventuelt interesseområde. Behandlingsgrunnlaget er vår berettigete interesse i å tilby og følge opp webinarer, GDPR artikkel 6 nr. 1 bokstav f), b. Når vi markedsfører webinar, følger vi reglene vi har beskrevet i punktet om markedsføring.
- Personvernsikkerhet
Vi vil kunne behandle personopplysninger slik som trafikk og metadata for å sørge for god informasjonssikkerhet i alle våre digitale tjenester. Vi vil også kunne behandle personopplysninger for å avdekke eller forhindre ulike typer bedrageri og misbruk. Det rettslige grunnlaget for vår behandling er vår berettigede interesse i å identifisere og følge opp relevante forhold etter GDPR artikkel 6 (1) f).
7. Hvem deler vi personopplysningene dine med?
Vi kan dele dine personopplysninger med:
- Andre selskaper i Stendi-konsernet til bruk for de samme for formål som opplysningene ble samlet inn for.
- Våre databehandlere. Et selskap som behandler dine personopplysninger på vegne av oss kalles en databehandler. Dersom vi engasjerer en databehandler inngår vi en databehandleravtaler som regulerer hvordan databehandleren kan behandle opplysningene de får tilgang til og deres plikter i den forbindelse, herunder til hvilke formål personopplysningene kan brukes til.
8. Hvilke rettigheter har du?
8.1 Innsyn
Du har rett til innsyn i egne personopplysninger. Dersom du ønsker å vite hva som er lagret av personopplysninger om deg i våre systemer, kan du kontakte oss.
8.2 Retting og sletting
Det er viktig at opplysningene vi har om deg er riktige og oppdaterte. Hvis du oppdager en feil, oppfordrer vi deg til å ta kontakt med oss slik at opplysningene kan bli rettet.
Du kan be oss om å slette opplysninger. Hva gjelder kravet om sletting er det imidlertid et unntak for de opplysninger som er nødvendig for at vi skal kunne levere en tjeneste som du fremdeles ønsker å ha tilgang til, eller det er lovpålagt å oppbevare opplysningene i en spesifikk periode.
8.3 Rett til å kreve begrenset behandling av personopplysninger og rett til å motsette seg behandling
Du har rett til å kreve at vår behandling av personopplysninger om deg begrenses. Metoder for å begrense behandling er eksempelvis å flytte de til et annet behandlingssystem eller å gjøre utvalgte opplysninger utilgjengelige. Dette kan du be om i følgende situasjoner:
- Dersom du mener at personopplysningene vi har lagret om deg er unøyaktige, i denne forbindelse kan behandlingen begrenses i perioden det tar for å kontrollere om personopplysningene er riktige.
- Dersom du mener at vår behandling av personopplysninger om deg er ulovlig.
- Dersom Stendi ikke lenger har behov for personopplysningene men du behøver disse til å fastsette eller gjøre gjeldende rettskrav.
Videre har du rett til å motsette deg behandling av personopplysninger og personprofilering og automatiserte avgjørelser. Dette medfører at du kan kreve at dine personopplysninger ikke analyseres for å avdekke din adferd, preferanser, evner eller behov. Dette gjelder likevel ikke dersom behandlingen er nødvendig for å oppfylle en avtale som du har inngått med oss eller dersom du tidligere har gitt ditt uttrykkelige samtykke til behandlingen.
8.4 Rett til dataportabilitet
Du har rett til å ta med deg dine personopplysninger til en annen tilsvarende aktør. Dette kalles dataportabilitet. Denne retten gjelder kun dersom behandlingen av dine personopplysninger skjer på bakgrunn av et samtykke fra deg eller i forbindelse med oppfyllelse av en avtale mellom deg og Stendi, og der behandlingen av opplysningene utføres automatisk.
8.5 Rett til å klage til Datatilsynet
Dersom du er uenig i hvordan vi behandler personopplysningene dine, har du rett til å klage til Datatilsynet. Du kan lese mer om dine rettigheter og hvordan du går frem for å klage på www.datatilsynet.no og www.datatilsynet.no/om-datatilsynet/kontakt-oss/klage-til-datatilsynet/.
9. Hvordan håndterer vi overføringer til utlandet?
Stendi benytter seg i hovedsak av databehandlere som behandler personopplysninger innenfor EU/EØS. Det vil si at disse databehandlerne er underlagt det samme regelverket når det kommer til behandling av personopplysninger.
Noen ganger bruker vi databehandlere som befinner seg i tredjeland, det vil si utenfor EU/EØS. Dersom dine personopplysninger overføres til slike tredjeland, vil vi forut for overføringen sikre at den skjer i tråd med de krav som oppstilles i GDPR kapittel V.
10. Hvordan håndterer vi informasjonskapsler (cookies)?
Vi bruker informasjonskapsler (“cookies”) og lignende teknologier på våre nettsider. Du kan lese mer om hvordan vi bruker cookies og behandler personopplysningene de samler inn her.
11. Hvordan varsler vi deg om endringer i denne personvernerklæringen?
Fra tid til annen har vi behov for å oppdatere denne personvernerklæring. I så fall varsler vi deg om endringene på hjemmesiden vår. Her vil du også alltid finne den siste, oppdaterte versjonen av personvernerklæringen.
12. Hvordan kommer du i kontakt med oss og vårt Personvernombud?
Ta kontakt med vårt personvernombud dersom du har spørsmål til hvordan vi behandler dine personopplysninger.
E-postadresse: DPO@stendi.no
Postadresse: Postboks 204 Lysaker, 1326 Lysaker
Merk konvolutten med “Stendi Personvernombud”