AMESTO
Vi tar ditt personvern på alvor.
AMESTO GROUP
Personvernerklæring.
Amesto tar personvern på alvor og alle personopplysninger skal være trygge hos oss. Her finner du informasjon om hvilke personopplysninger vi behandler om deg, herunder hvordan og hvorfor vi samler inn og bruker opplysningene, samt hvordan vi ivaretar sikkerheten, dine rettigheter og reglene i personvernlovgivningen.
Amesto er et konsern med juridiske enheter som krysser landegrenser. Vi leverer produkter og tjenester til private og offentlige virksomheter i flere land. Amestos hovedkontor ligger i Oslo og Amesto-konsernet er underlagt europeisk personvernlovgivning. Denne personvernerklæringen ble sist oppdatert 27. januar 2020.
1. INFORMASJON OM PERSONVERNERKLÆRINGEN
All behandling av personopplysninger er regulert i EUs personvernregelverk, General Data Protection Regulation, (GDPR) som er implementert i alle EØS-land.
«Personopplysninger» er opplysninger og vurderinger som kan knyttes til eller identifisere en fysisk person, f.eks. navn, telefonnummer, bostedsadresse og epostadresse, IP adresse, bilder eller et identifikasjonsnummer.
Lovgivningen stiller strenge krav til behandlingen av personopplysninger. For å kunne behandle personopplysninger, kreves blant annet et klart definert formål og ett rettslig grunnlag for behandlingen (som eksempel at behandlingen er nødvendig for å oppfylle en avtale med deg eller at du har samtykket til behandlingen). Det stilles også krav til konfidensialitet og sikkerhet, innebygd personvern, vurdering av personvernkonsekvenser og krav om at vi som selskap skal oppfylle dine rettigheter.
I henhold til personvernregelverket er behandlingsansvarlig den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. I enkelte tilfeller kan man også ha felles behandlingsansvar med tredjeparter der partene sammen bestemmer rammene for behandlingen. En databehandler er den som behandler personopplysningene på vegne av behandlingsansvarlig, og i slike tilfeller skal det foreligge en avtale mellom partene om rammene for behandlingen. Det lokale datatilsynet fører tilsyn med GDPR og utfyllende nasjonale lover.
For mer informasjon om personvern, som veiledninger og kontaktinformasjon til de tilsynsmyndighetene som er av størst relevans for Amesto-selskapene, se:
2. HVILKE TYPER PERSONOPPLYSNINGER BEHANDLES, HVORFOR, HVORDAN OG HVOR LENGE?
2.1 SLIK BEHANDLER VI PERSONOPPLYSNINGENE DINE
Behandlingsansvar
Selskapene i Amesto-konsernet behandler personopplysninger som behandlingsansvarlig i ulike situasjoner. Dette finner du mer informasjon om i denne personvernerklæringen.Det formelle ansvaret for behandling av personopplysninger ligger hos daglig leder i det Amesto-selskapet som er ansvarlig for den aktuelle behandlingen. Amesto har utpekt en felles chief privacy officer for å bistå konsernlederne med å forvalte ansvaret i konsernet, og det er også utpekt ett felles personvernombud for hele Amesto. Kontaktinformasjon finner du nederst i denne personvernerklæringen.
Vi samler inn og bruker personopplysninger til ulike formål og med ulike behandlingsgrunnlag, avhengig av hvilken relasjon du eller din bedrift har med oss, dine preferanser og eventuelle samtykker. Vi oppbevarer personopplysningene så lenge det er nødvendig for det lovlige formålet som personopplysningene samles inn for, hvoretter de slettes eller anonymiseres. Dette gir vi mer informasjon om i det følgende. Informasjonen får vi hovedsakelig fra deg eller gjennom offentlig tilgjengelig informasjon. Dersom vi deler informasjonen med andre har vi beskrevet det i forbindelse med den aktuelle behandlingen.
Databehandler
Amesto behandler også personopplysninger på vegne av kunder. Dette er tilfellet blant annet når vi behandler personopplysninger om våre kunders kunder eller kunders ansatte i forbindelse med levering av våre tjenester. Da regnes ikke Amesto som behandlingsansvarlig, selv om personopplysningene behandles av oss. I slike tilfeller er kunden behandlingsansvarlig, mens Amesto er databehandler som kun behandler opplysninger på vegne av kunden. Amestos behandling av personopplysninger reguleres i slike tilfeller av databehandleravtalen med kunden, samt kundens eventuelle instrukser for behandlingen.
Har du spørsmål til dette kan du se aktuell tjenestenettsiden eller ta direkte kontakt med det aktuelle Amesto-selskapet som leverer tjenesten.
2.2 GENERELLE BEHANDLINGSAKTIVITETER
Besøkende
Besøkende i Amestos lokaler kan bli bedt om å registrere sin ankomst med navn, kontaktinformasjon og eventuelt hvilket selskap de representerer. Denne informasjonen er viktig for Amesto for å kunne ha kontroll på hvem som oppholder seg i våre lokaler til enhver tid, og det rettslige grunnlaget er vår berettigete interesse i å ha slik kontroll. Slik besøksinformasjon lagres for en begrenset periode, med mindre den besøkende samtykker til at informasjonen lagres i en lenger periode angitt i samtykket. Den aktuelle lagringstiden informeres ved hver enkelt lokasjon.
Deltagelse på kurs og aktiviteter
Amesto tilbyr en rekke kurs og aktiviteter, både på nett og fysisk tilstedeværelse, der de aktuelle Amesto-selskapene behandler informasjon om deltakerne som navn, arbeidsgiver eller annen tilknytning til oss, tittel/rolle og kontaktinformasjon. Det rettslige grunnlaget for behandlingen er vår berettigete interesse i å administrere kurset eller aktivitetene, og for å dokumentere kundedeltagelse.
For kunder behandles slik informasjon i tråd med ordinær kundebehandling. Dersom du ikke er kunde hos oss, slettes informasjonen ett år etter avholdelse med mindre du har avgitt samtykke til at vi kan beholde slik informasjon for fremtidige arrangementer. Da vil informasjonen bli lagret og eventuelt delt med andre, i tråd med det aktuelle samtykket.
Leverandører og samarbeidspartnere
Amesto har en rekke leverandører og samarbeidspartnere. For å kunne dokumentere, administrere og gjennomføre oppgaver i tilknytning til disse vil vi behandle personopplysninger som kontaktperson, kontaktinformasjon, tittel og rolle, samarbeidsdialog via ulike kanaler, samt eventuell påloggingsinformasjon til produkter og tjenester som inngår i relasjonen. Det rettslige grunnlaget for behandlingen er å oppfylle vår avtale med leverandøren eller samarbeidspartneren, samt vår berettigede interesse i å administrere slike tredjeparter.
Vi oppbevarer personopplysningene så lenge det er en aktiv relasjon med slik tredjepart, og inntil 3 år etter avsluttet relasjon for å kunne følge opp nødvendige forpliktelser eller rettigheter overfor den aktuelle tredjepart.
Kundeportal, chat, og e-post
Amesto benytter kundeportal, chat og e-post som en del av det daglige arbeidet og i alminnelig dialog med interne og eksterne kontakter.
Det rettslige grunnlaget for denne behandlingen er vår berettigete interesse, samt potensielle avtaleforpliktelser og rettslige forpliktelser.
Slik dialog lagres i våre systemer dersom det er nødvendig og relevant for eksempel for et kundeforhold eller annen nødvendig dokumentasjon. Slik informasjon slettes i henhold til sletterutinene for den aktuelle relasjonen (for eksempel kundeforholdet) eller det aktuelle dokumentasjonsbehovet.
Våre ansatte er ansvarlig for å slette ustrukturerte personopplysninger i e-poster som ikke lenger er aktuelle, og minst hvert år gjennomgå og slette unødvendig innhold i sin e-postkasse.
Det gjøres for øvrig oppmerksom på at vanlig e-post er ukryptert. Det bes derfor om at det ikke sendes taushetsbelagte, sensitive eller andre fortrolige opplysninger til Amesto via e-post.
Amesto Trust Center
Amesto har et Amesto Trust Center for å ivareta avviksrapportering og annen meldepliktig informasjon tilknyttet ansatte, kritikkverdige forhold, helse, miljø og sikkerhet, personvern og annen informasjonssikkerhet. Henvendelser via Amesto Trust Center inkluderer også anmodninger om registrertes rettigheter når vi er behandlingsansvarlig og andre generelle henvendelser som sendes oss via Amesto Trust meldeskjema.
Dersom du benytter Amesto Trust meldeskjema, vil det lagres personopplysninger om deg som innmelder, herunder navn og kontaktinformasjon, med mindre skjemaet sendes anonymt. Innmelder legger selv inn informasjon i et sikret webskjema, som deretter behandles i vårt saksbehandlingssystem av dedikerte ressurser avhengig av sakens natur. Personopplysninger som behandles slettes automatisk i henhold til definerte sletterutiner for de ulike sakstyper, personopplysninger og lovkrav.
Det rettslige grunnlaget for denne behandlingen er å oppfylle våre rettslige forpliktelser eller basert på Amestos berettigete interesse i å behandle din henvendelse til oss.
Generelt om våre rettslige forpliktelser
Vi behandler personopplysninger for å oppfylle våre forpliktelser i henhold til lov, forskrifter eller myndighetsbeslutninger. Dette gjelder eksempelvis lagring av regnskapspliktig materiale i henhold til lokal lovgivning, for å etterkomme pålegg fra retten eller andre offentlige myndigheter. Det rettslige grunnlaget for denne behandlingen er å oppfylle våre rettslige forpliktelser, og vi lagrer opplysningene i henhold til de aktuelle lovkrav.
Generelt om sikkerhet
Det er nødvendig for oss å behandle personopplysninger for å sikre dine og Amestos verdier. Dette gjøres for eksempel gjennom tilgangsstyring, logging på servere og systemer, drift av infrastruktur, brannmurer og adgangskontroll.
Det rettslige grunnlaget for denne behandlingen er hovedsakelig å oppfylle våre rettslige forpliktelser. Behandlingsgrunnlaget kan også gjelde forpliktelser som er beskrevet i avtale med våre kunder, samt vår berettigede interesse i å ivareta dine og våre verdier. Lagringstiden vil være avhengig av formålet og det rettslige grunnlaget for behandlingen.
Forebygging og utredning av straffbare forhold mot Amesto
Vi bruker personopplysninger for å forebygge, avdekke, oppklare og håndtere bedragerier og andre straffbare handlinger mot Amesto, samt misbruk av våre tjenester. Behandlingsgrunnlaget for dette er våre berettigede interesse i å oppnå formålet som beskrevet. Lagringstiden vil være avhengig av det konkrete formålet.
Klagebehandling, regresskrav og rettslige prosesser
Vi bruker personopplysninger for å fastsette, gjøre gjeldende og forsvare rettskrav, for eksempel i forbindelse med behandling av klager, regresskrav og rettslige prosesser. Det rettslige grunnlaget for denne behandlingen er Amestos berettigede interesse i å oppnå formålet som beskrevet. For å ivareta dette formålet kan det i særlige tilfeller også være nødvendig å behandle særlige kategorier av personopplysninger uten samtykke. Lagringstiden vil være avhengig av det konkrete formålet.
2.3 GENERELT OM DELING AV PERSONOPPLYSNINGER
Utlevering av personopplysninger som følge av rettslige pålegg
I den utstrekning det er pålagt ved lov eller rettslig avgjørelse eller nødvendig for etterforskning av mulige lovbrudd mot vår egen virksomhet vil relevante opplysninger kunne bli utlevert til offentlige myndigheter eller eventuelle andre berettigede.
Behandling av opplysninger hos våre leverandører
Leverandører som utfører tjenester til eller på vegne av Amesto, herunder hjelper oss med drift av virksomheten, vil normalt være databehandler, og følgelig kunne få tilgang til personopplysninger. Databehandler kan ikke bruke opplysningene til andre formål enn det de er innhentet til, og som bestemt av Amesto. Egne databehandleravtaler regulerer alle personopplysninger som deles med disse leverandørene.
I forbindelse med virksomhetsoverdragelse
Personopplysninger vil i enkelte tilfeller kunne utleveres i forbindelse med fusjon, oppkjøp, salg av Amestos eiendeler eller overføring av tjenester til et annet selskap.
Utlevering av personopplysninger til land utenfor EØS-området
I enkelte tilfeller kan det hende vi benytter leverandører eller samarbeidspartnere som behandler personopplysninger i land utenfor EØS-området. I slike tilfeller sørger vi for at opplysningene er overført i overensstemmelse med denne personvernerklæring og i henhold til gjeldende personvernlovgivning, og eventuelle godkjente standardavtaler og sertifiseringsordninger.
2.4 SÆRSKILT OM REKRUTTERING
Amesto behandler personopplysninger i forbindelse med rekruttering hovedsakelig som såkalt beandlingsansvarlig eller felles behandlingsansvarlig.
Vi opptrer som behandlingsansvarlig når vi behandler personopplysninger som sendes til oss sammen med en søknad på stilling hos Amesto.
I enkelte tilfeller kan Amesto ha felles behandlingsansvar med tredjeparter, for eksempel rekrutteringsselskap, som sammen med Amesto bestemmer hvordan personopplysningene behandles. Ansvarsfordeling, formål med behandlingen og hjelpemidler som skal benyttes er da særskilt regulert i egen avtale om felles behandlingsansvar. For Amestos rekrutteringsdatabase opptrer selskapene i Amesto Group som felles behandlingsansvarlig.
Det formelle ansvaret for behandling av personopplysninger ligger hos daglig leder i det eller de Amesto-selskapet/ene som er ansvarlig for den aktuelle behandlingen. Amesto har utpekt egne privacy managers for å bistå konsernlederne med å forvalte ansvaret i konsernet, og det er også utpekt en chief privacy officer for hele Amesto. Kontaktinformasjon finner du nederst i denne personvernerklæringen.
Amesto kan dele personopplysninger med eventuelle databehandlere som bistår oss i rekrutteringsprosessen, for eksempel rekrutteringsselskaper som bistår med vurdering av kandidater, tilbydere av personlighetstester osv. Denne behandlingen er regulert i egne databehandleravtaler med Amestos konkrete instrukser for databehandlers håndtering av personopplysningene.
Søknad på konkret stilling
Amesto behandler de personopplysninger som er nødvendige for å vurdere om du er egnet til å fylle den stillingen som skal besettes. Det behandles personopplysninger som du selv avgir i forbindelse med rekrutteringsprosessen, herunder navn og kontaktopplysninger, opplysninger om utdannelse, arbeidserfaring og andre kvalifikasjoner, samt eventuelle bilder og videopresentasjoner du deler. Som en del av rekrutteringsprosessen kan vi også søke etter ytterligere informasjon om deg på internett, inkludert sosiale medier. Dette baserer seg på vår berettiget interesse i å kunne vurdere din søknad og egnethet for stillingen.
For enkelte stillinger kan det være nødvendig å gjennomføre kredittsjekk, innhente politiattest og få oversikt over relevante verv. Det kan også være relevant å gjennomføre evne- og/eller personlighetstester. Da vil vi behandle testresultatet, samt teknisk informasjon som IP-adresse og påloggingsinformasjon som avgis i testverktøyet. Dersom noe av dette er relevant for stillingen vil aktuelle søkere motta mer informasjon i forbindelse med rekrutteringsprosessen, og opplysningene behandles basert på ditt samtykke. Det er frivillig å avgi samtykker, men vær oppmerksom på at dersom det er nødvendig å behandle slik informasjon for den aktuelle stillingen og du ikke samtykker, vil vi ikke kunne vurdere deg for stillingen.
Vi beholder søknaden din, og all informasjon du har gitt oss i forbindelse med søknadsprosessen, samt våre egne vurderinger av deg som søker, inntil søknadsprosessen er fullført og i en etterfølgende periode på 3 måneder. Merk at vi likevel ikke lagrer selve innholdet i en eventuell kredittsjekk eller politiattest, men kun at slik test er gjennomført og om kandidaten fortsatt er egnet for stillingen.
Dersom du har søkt på en bestemt stilling i ett konkret Amesto selskap, vil vi ikke dele dine personopplysninger med andre selskap i Amesto-konsernet uten ditt samtykke. Se for øvrig om vår rekrutteringsdatabase under.
Du kan når som helst trekke din søknad eller trekke tilbake dine samtykker til behandling av personopplysninger ved å sende en henvendelse til kontaktpersonen for stillingen eller gjennom Amesto Trust meldeskjema.
Les også mer om dine rettigheter her
Åpen søknad i vår rekrutteringsdatabase
Dersom du ønsker at Amesto skal beholde dine personopplysninger for å vurdere din kompetanse opp mot andre stillinger i Amesto-konsernet kan du samtykke særskilt til dette når du søker. I vår rekrutteringsdatabase lagres personopplysningene du selv allerede har avgitt, herunder navn og kontaktopplysninger, opplysninger om utdannelse, arbeidserfaring og andre kvalifikasjoner, samt eventuelle bilder og videopresentasjoner du deler med oss. Videre vil eventuelle uttalelser fra referanser, bakgrunnssjekker, interne vurderinger og intervjureferater, samt personlighets- og evnetester også lagres i rekrutteringsdatabasen. Personopplysninger som overføres til vår rekrutteringsdatabase basert på ditt samtykke, vil kunne deles med relevante funksjoner i alle selskap i Amesto-konsernet.
Vi ønsker kun å motta åpne søknader via vår rekrutteringsdatabase. Sender du oss en åpen søknad per e-post vil vi henvise deg til vår rekrutteringsdatabase.
Dersom du samtykker til at vi oppbevarer personopplysningene dine i rekrutteringsdatabasen, lagres disse i 360 dager, beregnet ut fra tidspunktet for ditt samtykke, hvoretter alle personopplysninger blir slettet. Dersom du ønsker å trekke tilbake ditt samtykke kan du sende en henvendelse gjennom Amesto Trust meldeskjema.
2.5 SÆRSKILT OM DIGITALE KANALER, KUNDER OG MARKEDSFØRING
Selskapene i Amesto-konsernet behandler personopplysninger om kunder, potensielle kunder og besøkende på våre sosiale og digitale kanaler, hovedsakelig som såkalt behandlingsansvarlig, og i noen tilfeller som felles behandlingsansvarlig.
Dette gir vi mer informasjon om i det følgende.
Våre nettsider
Når du besøker våre nettsider bruker vi Cookies, også kalt informasjonskapsler. Dette er små filer som plasseres på datamaskinen din når du laster ned en nettside. Vi kategoriserer bruken av Cookies i følgende områder:
- Nødvendige Cookies som settes med en gang du besøker en Amesto nettside. Disse er teknisk nødvendige for at nettstedet skal fungere. Typiske eksempler er skjemafunksjonalitet og menyer.
- Funksjonelle Cookies som for eksempel foretrukket språk eller regionen du befinner deg i.
- Cookies til analyseformål for å vurdere hvordan nettstedet brukes og kartlegge forbedringspotensial.
- Cookies til markedsføringsformål som for eksempel Facebook piksel som gjør at vi kan vise annonser som er relevante og engasjerende for den enkelte bruker.
På Amestos nettsider setter vi ingen Cookies utenom de nødvendige før du har avgitt ditt samtykke i vår Cookies-erklæring. Her finner du også informasjon om hvordan vi lagrer og deler slike Cookies. Du kan til enhver tid endre ditt samtykke på våre nettsider nederst i venstre hjørne.
Nettleserleverandørene har også hjelpesider for hvordan du administrerer informasjonskapsler:
Sosiale medier
Amesto har opprettet sider på ulike sosiale medieplattformer, for å formidle informasjon og markedsføring om oss, samt engasjere oss i dialog med våre interessenter. Vi har felles behandlingsansvar med driftere av slike plattformer som Amestos side på Facebook, Instagram og LinkedIn. Amesto har en berettiget interesse i å forstå og kommunisere med interessenter i sosiale medier, som har valgt å følge oss og kontakte oss, mens det aktuelle sosiale mediet har sitt rettslige grunnlag beskrevet i sin aktuelle personvernerklæring.
Hvis du besøker, liker eller deler innholdet vårt i sosiale kanaler som Facebook, Instagram, YouTube og LinkedIn settes pixler for å sammenstille data til målrettede annonser mot segment. Dette kan ikke knyttes direkte til deg som person. Her kan du lese mer om hvordan sammenstilt data brukes for å vise annonser uten at annonsøren får vite hvem du er:
- Facebook og Instagram https://www.facebook.com/ads/about/?entry_product=ad_preferences
- LinkedIn
https://www.linkedin.com/legal/privacy-policy - YouTube (eies av Google) https://policies.google.com/privacy
Potensielle kunder
Besvare henvendelser: Før et kundeforhold er etablert, behandler vi personopplysninger som navn, arbeidsforhold, tittel/rolle og det du etterspør, for å kunne administrere henvendelser til oss. Vi vil behandle og dele personopplysninger i konsernet, for å kunne besvare din henvendelse på best mulig måte. Denne behandlingen baserer vi på avtale om å besvare din henvendelse. Slik informasjon slettes fortløpende når henvendelsen er besvart tilfredsstillende.
Opprettelse av leads: Basert på vår berettigete interesse utarbeider vi også oversikt over potensielle kunder og kontaktpersoner basert på offentlig tilgjengelig informasjon. Slik informasjon lagres i ett år.
Dersom du avgir ett samtykke når du henvender deg til oss, vil vi også registrere deg som et lead hos oss, og behandle informasjonen i tråd med det aktuelle samtykket.
Kunder
Når du eller den virksomheten du jobber for, er kunde av oss, behandler vi personopplysninger for å dokumentere, administrere og gjennomføre oppgaver i tilknytning til våre tjenesteleveranser. Dette kan blant annet være i forbindelse med kundeundersøkelser, kundeservice, for å gi relevant og nødvendig informasjon, fakturering, osv. Vi vil behandle navn på kunde (som er en personopplysning dersom du er et enkeltmannsforetak), kundekontakt, herunder kontaktinformasjon, tittel og rolle, kundedialog via ulike kanaler, samt eventuell påloggingsinformasjon til produkter og tjenester som inngår i kundeforholdet. Det rettslige grunnlaget for behandlingen er å oppfylle avtalen med kunden, samt vår berettigede interesse i å administrere kundeforholdet.
Vi oppbevarer personopplysninger i tilknytning til kundeforholdet så lenge det er et aktivt kundeforhold med Amesto, og inntil 3 år etter avsluttet kundeforhold for å ivareta egne og den tidligere kundens interesser i en periode etter opphør.
I tillegg kan Amesto basert på våre rettslige forpliktelser lagre kundeinformasjon i henhold til lovpålagte krav dersom dette fremgår i slik dokumentasjon, for eksempel regnskapspliktig materiale.
Konsernkunderegister
Amesto er et konsern med flere selskaper. Vi har felles kunderegister for kunder i Amesto TechHouse-konsernet og Amesto AccountHouse-konsernet. Formålet med konsernkunderegisteret er å administrere våre kundeforhold på en effektiv måte og å samordne rådgivning, tilbud av tjenester og lovlig markedsføring på tvers av selskapene. I kunderegisteret behandler og lagrer vi kundeinformasjon som beskrevet om «Kunder» over, med unntak av kundedialogen som ikke er tilgjengelig på tvers.
Amesto-selskapene har felles behandlingsansvar for konsernkunderegisteret. Det rettslige grunnlaget for å behandle og dele basisinformasjon på tvers er vår berettigede interesse i å administrere kundeforholdet og samordne aktiviteter på tvers av Amesto.
Markedsføring
Vi behandler personopplysninger for å markedsføre våre produkter og tjenester. Markedsføringsaktivitetene inkluderer blant annet segmentering av målgrupper for markedsføring, markedsføring basert på kjøp eller bruk av tjenester hos oss m.m., utsendelse av nyhetsbrev og andre former for lovlig markedsføring.
Det rettslige grunnlaget for denne behandlingen er hovedsakelig vår berettigede interesse i å markedsføre Amesto-konsernets produkter og tjenester. I enkelte tilfeller vil det rettslige grunnlaget være samtykke. Dette gjelder først og fremst utsendelse av elektronisk markedsføring (som for eksempel e-post og sms), til ikke-eksisterende kunder, fra andre selskaper i Amesto-konsernet enn med de du har et direkte kundeforhold, eller andre situasjoner der samtykke er nødvendig i henhold til gjeldende rett.
Ved opphør av et kundeforhold vil vi kun benytte informasjonen til direkte elektronisk markedsføring dersom du har samtykket til dette.
Dersom du melder deg på nyhetsbrev eller benytter deg av muligheten til å laste ned informasjon som for eksempel sjekklister, White Papers osv., vil vi behandle personopplysninger i tråd med det aktuelle samtykket.
Du har tilgang til dine samtykker der samtykkene først ble gitt. Her kan du enkelt og når som helst endre eller trekke tilbake dine samtykker. Du kan også ta kontakt med oss gjennom Amesto Trust meldeskjema.
Som eksisterende kunde kan du reservere deg mot at vi tar kontakt med deg. Dette gjøres gjennom en tydelig merket «meld deg av» link i den aktuelle utsendelsen. Merk at du ikke kan reservere deg mot kritisk informasjon som vedrører kundeforholdet. Du kan også ta kontakt med oss gjennom Amesto Trust meldeskjema.
Analyser og produktutvikling
Vi bruker sammenstilte data for å gjennomføre analyser som hjelper oss å forstå potensielle og eksisterende kunders behov. Vi bruker slik informasjon til å analysere hvordan våre produkter og tjenester, samt sosiale og digitale kanaler brukes, slik at vi kan videreutvikle disse for å kunne tilby mest mulig verdi.
Denne typen aktiviteter gjøres hovedsakelig på aggregerte (sammenstilte) data, men kan i enkelte tilfeller også innebære behandling av IP adresser. Det rettslige grunnlaget for denne behandlingen er vår berettigede interesse i å forstå og tilpasse oss våre kunders behov for å videreutvikle våre produkter og tjenester.
2.6 SÆRSKILT TILKNYTTET TJENESTEOMRÅDER
De ulike Amesto-selskapene kan i tillegg til det som er beskrevet over ha ytterligere behandling og deling av personopplysninger som behandlingsansvarlig i forbindelse med sine tjenesteområder.
Regnskapsføreroppdrag
Som regnskapsførerselskap mottar vi en rekke opplysninger fra våre kunder, deriblant en stor mengde personopplysninger. Kunden som er behandlingsansvarlig for personopplysningene, oversender disse til oss som databehandler i tråd med oppdragsavtalen og tilhørende databehandleravtale.
Gjennom regnskapsførerregelverket er vi som regnskapsførere påkrevd å oppbevare oppdragsdokumentasjon. Oppdragsdokumentasjon består av grunnlagsmateriale for det arbeidet som gjøres, samt dokumentasjon av selve arbeidet. Det kan for eksempel være mottatte timelister, informasjon om lønnstrekk som skal foretas, etc. I tillegg består oppdragsdokumentasjonen av en del opplysninger og dokumentasjon om kunden, slik som reelle rettighetshavere, den som handler på vegne av kunden, undersøkelser om mistenkelige transaksjoner i henhold til hvitvaskingsloven, etc.
Amesto som regnskapsførerselskap blir dermed også selv behandlingsansvarlig for disse personopplysningene som omhandler kunden. All oppbevaring av slike opplysningene er hjemlet i regnskapsførerloven og –forskriften, God regnskapsføringsskikk og tilstøtende lovverk, som for eksempel hvitvaskingsloven.
Opplysningene deles kun med kunden, samt offentlige myndigheter etter særskilt hjemmel (for eksempel regnskapsførerloven, skatteforvaltningsloven og hvitvaskingsloven). Vi lagrer personopplysningene i henhold til det aktuelle lovkrav, hovedsakelig i 5 år fra årets slutt, eller så lenge kundeforholdet varer og inntil 5 år etter at kundeforholdet avsluttes.
3. HVORDAN BESKYTTER VI OPPLYSNINGENE?
Amesto arbeider planlagt og systematisk med å beskytte personopplysninger.
Gjennom god internkontroll og god informasjonssikkerhet sikrer vi at vi behandler personopplysninger lovlig, sikkert og forsvarlig.
Vi skal ivareta den registrertes rettigheter og friheter, samtidig som vi oppfyller virksomhetens lovlige formål med behandlingen. Etter personvernregelverket innebærer det en forholdsmessighet hvor vi ser på behandlingens art, omfang, formål og sammenheng, samt risikoene for fysiske personers rettigheter og friheter, og ut fra det gjennomfører vi egnede tekniske og organisatoriske tiltak.
Amesto er opptatt av å hindre uautorisert tilgang til og videreformidling av personopplysninger. Vi skal sørge for at de personopplysningene vi behandler behandles konfidensielt, vi skal opprettholde integriteten til personopplysningene, samt sikre at de er tilgjengelige i henhold til gjeldende personvernlovgivning.
I Amesto tror vi på å bygge en sterk bedriftskultur der åpenhet om, respekt for og bevissthet rundt, personvern blant våre ansatte er grunnleggende for å sikre lovlig behandling og beskyttelse av personopplysninger og annen data. «It’s all a matter of trust». Følgende tiltak er spesielt viktige for oss i denne forbindelse:
Organisatoriske tiltak;
- Amesto har et eget Privacy Council som tar alle strategiske beslutninger, overvåker og styrer konsernets personvernarbeid.
- Amesto har et eget Security Council som tar alle strategiske beslutninger, overvåker og styrer konsernets sikkerhetsarbeid.
- Amesto har dedikerte personer i konsernet som forvalter personvernansvaret i samarbeid med konsernledelsen.
- Amesto har utpekt en chief privacy officer for konsernet.
- Alle ansatte skal gjennomføre opplæring i personvern og sikkerhet.
- Det gjennomføres bevisstgjøringskampanjer på personvern og sikkerhet for alle ansatte.
- Alle ansatte i Amesto signerer taushetsplikterklæring om informasjon vi mottar i forbindelse med arbeidet vårt.
- Det er etablert internkontroll ansvar i konsernet med klare retningslinjer rundt personvernhåndtering, herunder personvernkonsekvens-utredninger, protokoll over behandlingsaktiviteter og annen dokumentasjon.
- Alle underleverandører skal inngå databehandleravtale med Amesto som sikrer en ubrutt kjede av krav om personvern og informasjonssikkerhet.
Tekniske tiltak;
- Klassifisering av personopplysninger for å sikre at de sikkerhetstiltakene som implementeres står i forhold til vurderingen av risiko.
- Vurdere bruk av kryptering og pseudonymisering som risikoreduserende tiltak.
- Begrense tilgang til personopplysninger til de som trenger tilgang for å oppfylle plikter i henhold til tjenesteavtaler eller lovgivning.
- Bruke systemer som avhjelper og forhindrer avvik.
- Bruke sikkerhetsrevisjoner for å fortløpende vurdere hvorvidt gjeldende tekniske og organisatoriske sikkerhetstiltak er tilstrekkelige.
Fysiske tiltak;
- Våre lokaler er beskyttet med adgangskontroll.
4. HVA ER DINE RETTIGHETER NÅR VI BEHANDLER PERSONOPPLYSNINGER
Du har rett til å kreve innsyn, retting eller sletting av personopplysningene vi behandler om deg. Du har videre rett til å kreve begrenset behandling, rette innsigelse mot behandlingen og kreve rett til dataportabilitet. Du kan lese mer om innholdet i disse rettighetene på de respektive lands tilsynssider;
For å ta i bruk dine rettigheter kan du registrere din anmodning ved å sende inn en henvendelse til oss via Amesto Trust meldeskjema. Her vil du også få veiledning til innsendelsen. Vi vil svare på din henvendelse så fort som mulig, og senest innen 30 dager med mindre det foreligger særlige omstendigheter (du vil i så fall få beskjed fra oss).
Vi vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å sikre oss at vi kun gir deg tilgang til dine personopplysninger - og ikke til noen som gir seg ut for å være deg.
Du skal ha tilgang til dine samtykker der samtykkene først ble gitt, og der skal du enklest og når som helst kunne endre eller trekke tilbake dine samtykker. Dersom du har spørsmål tilknyttet ett samtykke, kan du uansett ta kontakt med oss ved å sende inn en henvendelse via Amesto Trust meldeskjema.
5. KLAGER, AVVIK OG HENDELSER
Dersom du mener at vår behandling av personopplysninger ikke stemmer med det vi har beskrevet her, eller at vi på andre måter bryter personvernlovgivningen, håper vi du tar kontakt med oss så snart som mulig.
Amesto ønsker at alle hendelser og avvik som kan påvirke personvernet eller informasjonssikkerheten skal meldes til oss ved å sende inn en henvendelse via Amesto Trust meldeskjema. Skjemaet er forsøkt gjort enkelt å fylle ut med god veiledning underveis. Alle henvendelser via Amesto Trust blir håndtert og fulgt opp i vårt saksbehandlingssystem av dedikerte personvernressurser i tråd med våre interne prosedyrer. Når du melder en sak hos oss vil du også få informasjon om hvordan du kan komme i kontakt med oss for å følge opp saken din.
Du kan også alltid ta direkte kontakt med vår chief privacy officer, se kontaktinformasjon under.
Du kan også klage til det lokale datatilsynet. Informasjon om hvordan kontakte datatilsynet finner du på de det respektive datatilsyns nettsider.
6. ENDRINGER
7. KONTAKTOPPLYSNINGER
For spørsmål som gjelder personvernerklæringen eller andre personvernspørsmål, kan du alltid kontakte oss ved å sende inn en henvendelse via Amesto Trust meldeskjema.
Du kan også benytte følgende kontaktopplysninger:
Amesto Group v/chief privacy officer
Postboks 6395
0604 Etterstad
Telefon: +47 922 03 214
E-post: amestotrust@amesto.no (unngå å sende persondata i en usikker e-post)