Personvern i ESTRA

Denne personvernerklæringen forteller hvordan ESTRA samler inn og bruker personopplysninger.
Målet er å gi deg informasjon om vår behandling av personopplysninger.

Innledning

Personvern og forsvarlig håndtering av personopplysninger er viktig i ESTRA. Denne personvernerklæring gir informasjon om hvordan ESTRA (org. nr 123 456 789), behandler personopplysninger. ESTRA har plikt til å gi enhver som ønsker informasjon om hvordan vi behandler personopplysninger innsyn i vår behandling.

ESTRA er opptatt av å ivareta og respektere personvernet ditt i samsvar med personopplysningsloven og EUs personvernforordning (2016/679) av 27. april 2016 (General Data Protection Regulation, GDPR).

Personvernerklæringen gjelder aktiviteter knyttet til salg, markedsføring og effektuering av kundeavtaler, samt enkeltpersoner som søker jobb hos ESTRA.

Det gjelder egne databehandleravtaler for tjenester og løsninger levert av ESTRA.

Hvem vi er:

Firma: ESTRA

Registreringsnummer: Blir registrert i februar/mars 2020

Nettstedsadresse: https://www.estra.no

E-mail: admin@estra.no

Innhenting av personopplysninger skjer når:

du samhandler med oss personlig, gjennom korrespondanse, via telefon, i sosiale medier eller via websidene våre.
du har bedt ESTRA å kontakte deg gjennom kontaktskjema, e-post eller telefon
du har melder deg på kurs eller seminar
du abonnerer på nyheter fra ESTRA
du søker jobb i ESTRA.

Hva brukes personopplysningene til og på hvilket grunnlag?

Sende deg markedsføringskommunikasjon som du har bedt om. Dette kan omfatte informasjon om produktene og tjenestene våre, arrangementer, aktiviteter ol. Denne kommunikasjonen er abonnementsbasert og krever at du samtykker til å motta den.
Sende deg informasjon om produktene og tjenestene som du eller virksomheten du jobber i har kjøpt fra oss.
Utføre direktesalgsaktiviteter i tilfeller hvor det er etablert en berettiget og gjensidig interesse.
Gi deg informasjon om webinar, kurs, seminarer eller andre typer arrangement du har meldt deg på.
Svare på et «Kontakt meg»-skjema eller andre webskjemaer du har fylt ut på ESTRA sine nettsider.
Følge opp innkommende forespørsler; kundestøtte, e-post, chat eller telefonsamtaler.
Utføre kontraktsmessige forpliktelser som ordrebekreftelse, lisensdetaljer, faktura, påminnelser og lignende.
Kontakte deg for å utføre undersøkelser om hva du mener om produktene og tjenestene våre.
Behandle en jobbsøknad. Hvis du søker på en jobb hos oss, samler vi inn og oppbevarer personopplysningene du gir under søknadsprosessen.
Når en behandling krever samtykke, vil samtykke skje ved utfylling av et samtykkeskjema. Et samtykke kan trekkes tilbake til enhver tid.

Hva registreres når du bruker nettsiden?

Det er frivillig for de som besøker nettsidene å oppgi personopplysninger i forbindelse med tjenester, for eksempel å motta nyhetsbrev, invitasjon til ulike arrangement, informasjon om tjenester og produkter.

Personopplysninger som samles inn via ESTRA sitt nettsted vil være navn, telefonnummer, stilling og e-postadresse (i tillegg til navnet på og kontaktinformasjonen til selskapet du jobber for). Vi kan også samle inn tilbakemeldinger, kommentarer og spørsmål som vi har mottatt fra deg i servicerelatert kommunikasjon og aktiviteter, som møter, telefonsamtaler, dokumenter og e-post.

Fra nettsidene våre kan vi samle inn IP-adresser, innhold i informasjonskapsler (cookies) og handlinger utført på siden. ESTRA behandler ikke særlige kategorier eller sensitive personopplysninger.

Når besøkende legger inn kommentarer på siden, lagres gitt informasjonen inn i kommentarskjemaet i tillegg til IP-adressen til den besøkende og den besøkende sin nettleserversjon. Dette gjøres for å bidra til å unngå useriøse kommentarer.

En anonym tekststreng, generert på grunnlag av e-postadressen din (også kalt en «hash»), kan bli sendt til tjenesten Gravatar for å undersøke om du har en konto der. Personvernerklæringen til Gravatar ligger her: https://automattic.com/privacy/. Etter at kommentaren din er blitt godkjent, vil profilbildet ditt kunne være synlig for hvem som helst i forbindelse med kommentaren din.

Vær oppmerksom på at hvis du laster opp bilder til nettstedet, bør du unngå å laste opp bilder som inneholder informasjon om stedet det er tatt (EXIF GPS). Besøkende på siden kan laste ned og hente ut slik informasjon fra bilder på siden.

Webanalyse

ESTRA samler inn avidentifiserte opplysninger om besøkende på estra.no gjennom Google Analytics. Formålet med dette er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet på nettstedet. Eksempler på hva statistikken gir svar på, er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes.

Opplysningene behandles i avidentifisert og aggregert form. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. Vi samler inn hele IP-adressen, men IP-adressen avidentifiseres slik at bare de tre første gruppene i adressen brukes til å generere statistikk. Det vil si at dersom IP-adressen består av numrene 195.159.103.82, brukes bare 195.159.103.xx. I tillegg behandles IP-adressene på aggregert nivå, det vil si at all data slås sammen til en gruppe og ikke behandles individuelt.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å forbedre våre tjenester og få tjenester på estra.no til å fungere.

Bruken av informasjonskapsler (cookies)

Vi bruker informasjonskapsler til å samle informasjon når du navigerer på ESTRA sine websider. Denne informasjonen omfatter standardinformasjon fra nettleseren din, som nettlesertype og nettleserspråk, IP-adresse (Internett-protokoll) og handlingene du utfører.

Informasjonen brukes til å få websidene til å fungere mer effektivt, samt til å gi ESTRA forretnings- og markedsføringsinformasjon. Vi samler også inn informasjon om operativsystem, refererende side, banen gjennom webområdet, ISP-domene osv. Formålet er å forstå hvordan besøkende bruker et webområde. Informasjonskapsler hjelper oss til å skreddersy webområdet etter dine personlige behov samt til å oppdage og forebygge sikkerhetstrusler og misbruk.

Hvis du legger inn en kommentar på dette nettstedet, kan du be oss om å huske navn, e-post og nettsted. Denne informasjonen lagres i en informasjonskapsel og er der for å gjøre ting lettere for deg. Du trenger da ikke å gi inn denne informasjonen på nytt neste gang du legger inn en kommentar. Disse informasjonskapslene utløper etter ett år.

Om du besøker vår innloggingsside, vil vi opprette en midlertidig informasjonskapsel for å avgjøre om nettleseren din aksepterer informasjonskapsler. Denne informasjonskapselen inneholder ingen personopplysninger og forsvinner så snart du lukker nettleseren din.

Når du logger deg inn, blir det opprettet informasjonskapsler som lagrer innloggingsinformasjonen din og valg du har tatt når det gjelder hvordan innhold skal vises. Informasjonskapsler med innloggingsinformasjon utløper etter to dager, mens de med visningsvalg varer i ett år. Hvis du krysser av for «Husk meg»;, vil innloggingsinformasjonen din oppbevares i to uker. Hvis du logger deg ut av kontoen din, vil disse informasjonskapslene forsvinne.

Hvis du redigerer eller publiserer en artikkel, vil ytterligere en informasjonskapsel bli lagret i nettleseren din. Denne informasjonskapselen inneholder ingen personopplysninger, men bare ID-en til artikkelen du nettopp redigerte. Den utløper etter én dag.

Akismet antispam

Vi samler inn informasjon og besøkende som kommenterer på nettsteder som bruker Akismet antispam-tjenesten. Informasjonen vi samler inn avhenger av hvordan administratoren setter opp Aksimet for nettstedet, men typisk inkluderer det den kommenterende sin IP-adresse, brukeragent, refererende side og nettstedets URL (sammen med annen informasjon som er oppgitt av den kommenterende, som navn, brukernavn, epost-adresse og kommentaren i seg selv).

Innebygd innhold fra andre nettsteder

Artikler på dette nettstedet kan inkludere innebygd innhold (f.eks. videoer, bilder, artikler osv.). Innebygd innhold fra andre nettsteder oppfører seg på nøyaktig samme måte som om den besøkende hadde besøkt nettstedet som det innebygde innholdet kommer fra.

Disse nettstedene kan samle inn opplysninger om deg, bruke informasjonskapsler, bygge inn sporingssystemer fra tredjeparter og overvåke hva du gjør via dette innebygde innholdet. Dette omfatter også sporing av handlingene dine via det innebygde innholdet dersom du har en konto og er logget inn på nettstedet.

Personopplysninger i f.bm. leveranser – ansatte hos kunder

ESTRA behandler personopplysninger for ansatte hos våre kunder i f.bm. leveranse av utvikling/rådgiving og kartlegging. I tillegg behandler vi personopplysninger i f.bm. evaluering av oppdrag. Daglig leder i ESTRA har ansvar for behandling av personopplysninger i f.bm. leveranser og evaluering.

Utvikling/rådgivning

ESTRA vil enkelte ganger registrere og behandle personopplysninger om kundens ansatte i f.bm. utvikling av kundens organisasjon, team, ledere og medarbeidere. Dette vil typisk være opplysninger som ansattes navn, e-post, rolle. ESTRA er i all hovedsak behandlingsansvarlig for slike oppdrag. ESTRA vil ta initiativ til å innhente individuelt samtykke som behandlingsgrunnlag når det er nødvendig. I ESTRA vil både ansvarlig konsulent/-er og administrativt personell ha tilgang til disse personopplysningene som del av leveransen.

Typer personopplysninger som kan bli registrert er:

Kontaktinformasjon som navn, epost, (telefonnummer)
Jobbinformasjon som stillingstittel, arbeidsinstruks, tilrettelegging av vedkommende sitt arbeid og utvikling i rollen osv.

Kontaktinformasjon og jobbinformasjon kan inngå i f.bm. beskrivelsen av tilbuds- og leveransedokumenter og i f.bm. evaluering av leveranser. Den enkelte medarbeider i ESTRA er ansvarlig for at den faktiske behandlingen av personopplysninger er i samsvar med rutinene. ESTRA kontrollerer på jevnlig basis at rutinene blir fulgt.

Kartlegging

ESTRA leverer en rekke kartlegginger. Både standard hyllevare levert av 3. part og egenutviklede verktøy; hhv. standard og skreddersøm. Kartleggingene spenner fra miljø- til individundersøkelser, og kan være anonyme eller ikke-anonyme. Leveranser fra ESTRA kan bestå av enkeltvis kartlegginger eller kombinasjoner av kartlegginger som spenner fra kvantitative til kvalitative, anonyme/identifiserbare, individuelle/miljøundersøkelser etc.

ESTRA informerer om formålet med kartleggingen, og hvorvidt den er anonym eller ikke. ESTRA vil ikke dele opplysningene med andre eller bruke opplysningene til andre formål enn det som er angitt. Registrerte som deltar i kartlegginger får mulighet til å gi og trekke sitt informerte samtykke. De har mulighet til å kontakte ESTRA for å be om innsyn i sine personopplysninger, og få disse slettet.

Vi samler inn personopplysninger i f.bm. at vi gjennomfører kartlegginger. Både for å kontakte deltakere og rapportere resultater. Ved rapportering av resultat til kunde vil ESTRA sørge for å ivareta evt. krav til anonymitet basert på forskningsetiske prinsipper. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 a), individuelt samtykke. Materialet slettes så snart grunnlaget for behandling og oppbevaring ikke er til stede.

Bruk av 3. parts kartleggingsverktøy

Oversikt over 3. parts leverandører er beskrevet i Databehandleravtalen. Grunnlaget for behandling av personopplysninger i f.bm. disse verktøy er individuelt informert samtykke som gis i forkant av besvarelse. Hvis det er ønskelig at anonymisert data skal kunne benyttes i etterkant av opprinnelig formål for innhentet samtykke, (eks. til forskning) må dette være inkludert i opprinnelig samtykke eller samtykke må innhentes på nytt. Samtykke kan når som helst trekkes tilbake, og deltaker slettes. Det er etablert underdatabehandleravtaler med samtlige 3. parts kartleggingsleverandører hvor databehandler forplikter seg på å behandle personopplysninger på vegne av ESTRA i h.ht. gjeldende personvernbestemmelser. Det er etablert sletterutiner i de ulike verktøyene som sikrer at personvernbestemmelser er ivaretatt. Slettingsbestemmelser vil fremgå av de enkelte underdatabehandleravtaler og/eller på underleverandørens nettside.

Bruk av underleverandører

Samtlige underleverandører og innleide konsulenter som jobber på oppdrag for ESTRA sine kunder er forpliktet til å gjøre seg kjent med ESTRA sine personvernerklæring, og må signere på at de forplikter seg til å jobbe i hht denne i oppdrag for ESTRA sine kunder. I tillegg signerer samtlige innleide konsulenter på taushetsplikt- og datadisiplinerklæring.

Bruk av IT-leverandører og databehandleravtaler

ESTRA har i dag en IKT-driftsmodell der vi har outsourcet våre IT-systemer og overlatt driften til eksterne parter. Vi bruker enkelte databehandlere til å samle inn, lagre og/eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller inngår vi avtaler med databehandler for å sikre at behandlingen av opplysningene er i samsvar med personvernregelverket og krav til behandling av personopplysninger. Bruken av databehandlere er ikke å regne som en utlevering av personopplysninger. Leverandørene kan ikke bruke opplysningene til andre formål enn det de er innhentet til. ESTRA bruker databehandlere på flere forskjellige områder, for eksempel for IKT-tjenester som lagring og drift, helsetjenester, regnskap og lønn, markedsføring mm.

Som lønn- og regnskapssystem (inkludert inngående faktura og reiseutlegg) bruker vi tjenester fra Conta AS (org. nummer 998 807 867) som kjører på deres servere.

Pro ISP AS (org. nummer 896 907 662 ) er vår leverandør av webhotell og exchangeserver.

Deler vi opplysningene dine med tredjeparter?

Vi deler ikke personopplysningene med tredjeparter, men ESTRA kan bruke underleverandører til å behandle personopplysninger på vegne av oss. I så fall har vi ansvar for å påse at de forplikter seg til å følge denne personvernerklæringen og gjeldende personvernlovgivning ved å signere en databehandlingsavtale.

Besøkendes kommentarer kan bli kontrollert gjennom en automatisk gjenkjennelsestjeneste mot søppelkommentarer.

Hvis underleverandøren behandler personopplysninger utenfor EU/EØS-området, må slik behandling være i samsvar med rammeverket EU-US Privacy Shield, EUs standardkontraktsvilkår for overføring til tredjeland eller et annet spesifikt fastsatt rettslig grunnlag for overføringen av personopplysninger til et tredjeland.

Hvor lenge lagrer vi personopplysningene?

Vi lagrer ikke innsamlede personopplysninger lenger enn det som er nødvendig for å oppfylle formålet med innsamlingen. Det betyr at vi kan oppbevare personopplys–ningene dine i en rimelig periode. Hva som er nødvendig vurderes konkret i forhold til den enkelte behandlingen eller kategori av behandlinger.

Hvis du legger igjen en kommentar, blir kommentaren og informasjon om kommentaren lagret på ubestemt tid. Dette er for at vi kan gjenkjenne oppfølgingskommentarer og godkjenne dem automatisk i stedet for å legge dem i en kø der de må godkjennes manuelt av en redaktør.

For brukere som registrerer seg på dette nettstedet (dersom denne muligheten eksisterer), lagres det også personopplysninger som de oppgir i brukerprofilen sin. Alle brukere kan se, redigere og slette sine egne personopplysninger når som helst (bortsett fra brukernavn). Nettstedets administratorer kan også se og redigere denne informasjonen.

Når personopplysningene som vi har samlet inn, ikke lenger er nødvendige, sletter vi dem på en sikker måte.

Du har følgende rettigheter til egne personopplysninger:

Rett til å be om en kopi av personopplysningene som ESTRA har om deg. Hvis du har en konto på dette nettstedet eller har lagt igjen kommentarer, kan du be om å få en eksportfil som inneholder personopplysningene vi har om deg. Dette omfatter all data du har gitt oss.
Rett til å be ESTRA korrigere personopplysningene hvis de er unøyaktige eller utdaterte.
Rett til å be om at personopplysningene slettes når det ikke lenger er nødvendig for ESTRA å oppbevare slike data. Dette omfatter ikke opplysninger vi er pålagt å lagre av administrative, juridiske eller sikkerhetsmessige årsaker.
Rett til når som helst å trekke tilbake et samtykke til at vi kan behandle personopplysningene dine.

Endringer i denne personvernerklæringen

ESTRA forbeholder seg retten til når som helst å endre denne personvernerklæringen. Den gjeldende versjonen vil alltid være tilgjengelige på websidene våre. Vi oppfordrer deg til å sjekke personvernerklæringen fra tid til annen for å forsikre deg om at du er fornøyd med eventuelle endringer.

Har du spørsmål eller er du misfornøyd med måten personopplysningene dine er behandlet på, kan du i første omgang kontakte admin.emsoy.no

Du finner mer om dine rettigheter hos Datatilsynet på www.datatilsynet.no

Risikovurdering

ESTRA risikovurderer på jevnlig basis vår behandling av personopplysninger. Vurderingen skal gjøre at vi er i stand til å identifisere og definere hvilke sikkerhetstiltak vi skal gjennomføre.

Vurderingene inkluderer sannsynlighet og alvorlighetsgrad (risiko) for personers «rettigheter og friheter», som fysisk skade, skade på ting eller formue skade. Eksempler på skader er diskriminering, identitetstyveri, omdømmeskade, tap av sosial aktelse, at konfidensielle opplysninger blir kjent for uvedkommende og uakseptable inngrep i privatlivets fred.

Samfunnsutviklingen tatt i betraktning tar vi høyde for at det er sannsynlig at vi vil bli utsatt for flere og hyppigere forsøk på datainnbrudd. Vi skal løpende risikovurdere vår IT driftsmodell, og endringer som kan påvirke informasjonssikkerheten, for eksempel når vi kjøper nye IT-tjenester og evaluerer leverandører. Resultatene av risikovurderinger skal godkjennes av den som har det daglige behandlingsansvaret i ESTRA, daglig leder.

Denne personvernerklæringen forteller hvordan ESTRA samler inn og bruker personopplysninger. Målet er å gi deg informasjon om vår behandling av personopplysninger.