Personvernerklæring for EYDs tjenester

EYD tjenesteplattform leveres av EYD AS, som består av ulike tjenester eksempelvis EYD Innsyn. EYD tjenesteplattform leveres til våre kunder, som kan være organisasjoner og selskaper mv. I tillegg kan du opprette en profil i plattformen og benytte deg av de ulike tjenestene.

I forbindelse med EYD tjenesteplattform vil det behandles personopplysninger. Vi er opptatt av å behandle personopplysninger på en betryggende og tillitsvekkende måte, og derfor får du informasjon om behandlingen av personopplysninger her.

Nedenfor finner du informasjon om personopplysninger som behandles ved bruk av EYD tjenesteplattform, det lovlige grunnlaget med behandlingen, formålet med behandlingen, hvor lenge personopplysningene behandles, mv. For kontakt du har med EYD AS og annen behandling av personopplysninger knyttet til EYD AS , se personvernerklæring her.

Om du har spørsmål eller ønsker å vite mer om behandlingen av personopplysninger, så kan du kontakte oss – se kontaktopplysninger nedenfor.

1. Ansvarlig for behandling av personopplysninger

EYD AS er behandlingsansvarlig, dvs. bestemmer hvorfor og hvordan personopplysningene skal behandles, for behandling som omtales nedenfor. Har du registrert en profil i EYDs tjenesteplattform, er EYD AS behandlingsansvarlig.

Kontaktopplysninger for behandlingsansvarlig:

EYD AS

E-post: hello@eyd.tech

Organisasjonsnummer: 922 142 009

Vi kan også være databehandler for våre kunder, som vil kunne være organisasjoner, bedrifter mv., som benytter en eller flere tjenester i EYD tjenesteplattform og hvor du benytter deg av tjenester de har gjort tilgjengelig for deg. Kundene våre er da behandlingsansvarlig for behandlingen av dine personopplysninger. Se mer nedenfor.

2. Behandling av personopplysninger

Formålet med behandlingen av personopplysninger i EYDs tjenesteplattform er å kunne levere de tjenester som våre brukere eller kunder benytter tjenesten til, herunder eksempelvis mottak og behandling av innsynsforespørsler, administrering av IDer og personopplysninger, forvaltning av samtykker mv.

Formålet er også å gi våre kunder kontroll og oversikt, samt å gi deg som bruker oversikt over hvordan du benytter tjenesten herunder eksempelvis kunne rette forespørsler om innsyn og få oversikt over hvor dine personopplysninger er registrert, hvilke samtykke du har avgitt og gi deg muligheten til å håndtere dine opplysninger.

All behandling av personopplysninger skjer i overensstemmelse med de til enhver tid gjeldende personvernregler, herunder personopplysningsloven og personvernforordningen (GDPR).

Med «personopplysninger» menes alle opplysninger som kan knyttes til en fysisk person (sistennevnte omtales som «registrert»).

Med «behandling» menes alt som foretas med personopplysninger, som innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

Er vi databehandler, dvs. vi behandler personopplysninger på vegne av andre, vil du få informasjon om behandlingen fra behandlingsansvarlig. Du kan allikevel kontakte oss om behandlingen av dine personopplysninger, så vil vi henvise deg til rett behandlingsansvarlig.

3. Behandling av personopplysninger i tilknytning til EYDs tjenester

3.1 Registrering av profil

Dersom du oppretter en profil i EYD tjenesteplattform, dvs. registrerer deg og legger inn opplysningene som nevnt nedenfor, så er vi behandlingsansvarlig, dvs. vi er ansvarlig for behandling av dine personopplysninger knyttet til din profil.

Formålet med behandlingen av personopplysningene er å gi deg muligheten til å enklere benytte tjenestene du vil kunne finne i plattformen og gi deg oversikt og tilgang til tjenestene og dine personopplysninger. Grunnlaget for behandling er da for å oppfylle en avtale med deg (personvernforordningen artikkel 6 (1) b), som er vilkårene du aksepterte ved å opprette en profil i EYD tjenesteplattform.

For ditt bruk av EYDs tjenester behandles blant annet følgende personopplysninger:

Nødvendige opplysninger for å ha en profil slik som: Navn, telefonnummer, e-post, påloggingsinformasjon mv. Andre opplysninger du selv velger å knytte til din profil og som i enkelte tilfeller vil være nødvendig for å benytte enkelte tjenester, slik som fødselsdato, kjønn, adresse, personnummer, arbeidsgiver, preferanser mfl.

Opplysninger knyttet til din bruk av tjenesten slik som opplysninger knyttet til dine forespørsler og tilknytninger til selskaper, organisasjoner mv, som vil kunne være kunder av EYD AS.

Det vil også bli behandlet tekniske logger, sikkerhetslogging på nettsidene og i tilknytning til tjenester av sikkerhetshensyn, for utvikling av tjenesten, og statistikk. Behandling av slike opplysninger gjøres på grunnlag av vår plikt til å overholde personvernregelverket for å sikre personopplysninger, se GDPR artikkel 6 (1) c, jf. bl.a. artikkel 32, og vår plikt til å sikre dine personopplysninger etter avtalen med deg, se ovenfor.

3.2 Registering av data fra våre kunder

Kunder av oss, som selskaper, organisasjoner mv., som benytter våre tjenester er behandlingsansvarlig for de personopplysninger som behandles når tjenestene benyttes. Vi vil da behandle personopplysninger på vegne av kunden, og vi er da databehandler, mens kunden er altså ansvarlig for behandlingen. Det er inngått databehandleravtale mellom oss og kundene for å regulere vår behandling av personopplysninger på vegne av kundene.

Da det er våre kunder som er ansvarlig for behandlingen (behandlingsansvarlig), og du må kontakte vår kunde for å håndheve dine rettigheter.

Informasjonen i denne personvernerklæringen vil også gjelde vår behandling av personopplysninger om brukere av våre kunders tjenester når det gjelder utlevering og overføring av personopplysninger og sikkerhetsmessig/tekniske forhold. For hvor lenge personopplysninger blir behandlet og oppbevart, så er dette avhengig av når vår kunde velger å slette opplysningene. Vi vil ikke benytte informasjon eller opplysninger fra våre tjenester uten at dette er instruert eller godkjent av våre kunder.

Dersom opplysningene legges inn av vår kunde, så vil normalt behandlingen være basert på oppfyllelse av lovmessig plikt eller at vår kunde har en berettiget interesse for behandlingen det er vurdert at denne berettigede interessen går foran personvernet til de registrerte. Ta kontakt med den som har gjort tjenesten tilgjengelig for deg (som vil være vår kunde) for mer informasjon.

Dersom du forespør informasjon eller melder deg på nyhetsbrev, eller er eksisterende kunde av oss, vil vi sende ut informasjon om EYDs tjenester og eventuelle andre produkter og tjenester, produkter for samarbeidspartnere, nyhetsbrev og annen informasjon og markedsføring.

Vi vil da behandle ditt navn og e-postadresse for å sende ut slik informasjon. Behandling av personopplysninger skjer på grunnlag av samtykke eller avtale med deg (GDPR artikkel 6 (1) a eller b). Du kan når som helst trekke tilbake ditt samtykke ved å benytte eventuelle muligheter til avbestilling i forsendelser du mottar, eller for å reservere deg mot direkte markedsføring og/eller profilering etter GDPR 21 (2), ved å kontakte oss. Behandlingen skjer inntil du enten har mottatt forespurt informasjon, har trukket ditt samtykke eller ikke lenger er kunde hos oss. Deretter slettes personopplysningene dine.

Ved utsendelse av informasjon om de tjenester du benytter, som SafeSpot, som ikke inneholder markedsføring, så vil dette gjøres uavhengig av om du har samtykket, og personopplysningene vil da behandles etter GDPR artikkel 6 (1) b ved at vi skal oppfylle en avtale med deg. Formålet med behandlingen er da å holde deg oppdatert om tjenestene du mottar. Slik informasjon omfatter nødvendig informasjon om tjenestene, og du kan ikke reservere deg mot slik informasjon.

Handler du i våre nettbutikk, så behandles det personopplysninger i denne tilknytning, se da informasjon om personvernerklæring for EYD AS.

Du kan logge på din profil ved å skrive inn brukernavn og passord eller logge inn via en av de tilbudte påloggingsalternativene eksempelvis Vipps eller BankID. Du blir da omdirigert til påloggingssiden til den aktuelle tjenesten. Hvis du velger å logge inn via en av disse, deles informasjon om påloggingen med leverandøren av innlogging.

4. Oppbevaring og lagring (sletting) av personopplysninger

Vi oppbevarer personopplysninger så lenge det er nødvendig for det formål personopplysningene ble samlet inn for, og sletter opplysningene i tråd med krav i regelverket. Hvor lenge vi behandler de enkelte typene opplysninger vi behandler, er tatt inn i ovenfor hvor de enkelte behandlinger omtales.

I stedet for å slette personopplysningene, kan det i enkelte tilfeller være aktuelt å anonymisere personopplysningene. Med anonymisering menes at alle identifiserende eller potensielt identifiserende kjennetegn fjernes fra datasett som tas vare på.

For opplysningene knyttet til en profil hos oss, så vil disse lagres og behandles så lenge din konto er aktiv eller til du sletter kontoen. Kontoen vil også slettes dersom din konto ikke har vært aktiv de siste 36 måneder.

I tillegg sletter vi opplysningene når vi er pålagt av vår kunde som behandlingsansvarlig å slette disse.

5. Overføring eller utlevering av personopplysninger til andre

Vi gir ikke personopplysninger vi er behandlingsansvarlige for videre til andre i andre tilfeller enn nevnt i denne erklæringen og med mindre det foreligger et lovlig grunnlag for dette. Eksempler på slikt grunnlag vil typisk være en avtale med eller samtykke fra den registrerte eller en lovmessig plikt som pålegger oss å gi ut informasjonen.

Vi bruker databehandlere til å samle inn, lagre eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller har vi inngått avtaler for å ivareta dine rettigheter og sikkerhet for dine personopplysninger i alle ledd av behandlingen.

Er det pålagt ved lov eller det er mistanke om at det er begått lovbrudd i forbindelse med bruk av våre tjenester, vil personopplysninger vi har lagret om deg kunne utleveres til offentlige myndigheter.

6. Overføring av personopplysninger til mottaker i land utenfor EØS

Det er en målsetting for oss at all behandling av personopplysninger skal foretas innenfor EØS, men det vil kunne være at vi benytter leverandører eller behandler personopplysninger utenfor EØS. I slike tilfeller vil overføring og behandling utenfor EØS (tredjeland) skje i land godkjent av EU-kommisjonen eller i samsvar med gyldig rettslig grunnlag for overføringen av personopplysninger etter GDPR kapittel V. Skjer ikke overføring til land godkjent av EU-kommisjonen, vil overføring kun skje etter de garantier som er oppstilt i GDPR artikkel 46 (2). Hvilket grunnlag som er benyttet for overføring kan du få opplyst om du kontakter oss.

7. Sikkerhet for behandlingen

Vi prioriterer sikkerhet av personopplysninger høyt i vår virksomhet og vil iverksette alle påkrevede tekniske og organisatoriske tiltak for å sikre dine personopplysninger.

Vi håndterer informasjon slik at den er riktig, tilgjengelig og håndtert i henhold til grad av sensitivitet på opplysningene. Vi benytter også en rekke sikkerhetsteknologier og informasjonssikkerhets-prosedyrer for å beskytte personopplysningene fra uautorisert tilgang, bruk eller formidling. Det gjennomføres risikovurderinger for behandling av personopplysninger.

Vi har inngått databehandleravtaler med alle våre leverandører som behandler personopplysninger, hvor de påtar seg samme grad av sikkerhet som vi har for vår behandling av personopplysninger.

Vi begrenser tilgangen til personopplysninger til det personalet eller de tredjepartene som skal behandle opplysningene på våre vegne. Disse partene er underlagt konfidensialitetsplikt.

Det er etablert rutiner for håndtering av brudd på informasjonssikkerhet og rutiner (personvernbrudd), og vi vil, dersom det foreligger brudd som medfører risiko for personvernet til de personopplysningene gjelder, sende avviksmelding til Datatilsynet så raskt som mulig og senest innen 72 timer etter bruddet ble oppdaget. Medfører bruddet høy sannsynlighet for personvernet til de bruddet gjelder, vil vi også varsle disse.

8. Dine rettigheter når vi behandler personopplysninger om deg

Ved behandlingen av personopplysninger har du rett til bl.a. å få informasjon, innsyn i personopplysningene, kreve opplysninger rettet og slettet, begrensning i behandlingen mv. For dine rettigheter og hvordan bruke disse, se personvernerklæringen for EYD AS, se informasjon ovenfor.

Er vi databehandler for våre kunder, og du benytter tjenester fra en av våre kunder og da er denne ansvarlig for behandlingen av personopplysninger (behandlingsansvarlig). Du må da kontakte den du mottar tjenesten fra for å utøve dine rettigheter knyttet til behandling av dine personopplysninger. Dine rettigheter vil da i det vesentlige være som beskrevet nedenfor.

9. Klager

Opplever du at vår behandling av personopplysninger ikke er i overensstemmelse med det vi har beskrevet her eller at vi på andre måter bryter personvernlovgivningen, så kan du klage til Datatilsynet. Vi ber deg imidlertid å først kontakte oss, slik at vi kan få utbret eventuelle feil behandling raskest mulig.

Du finner informasjon om dine rettigheter og hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.

10. Endringer

Hvis det skulle skje endring av våre tjenester eller endringer i regelverket om behandling av personopplysninger, kan det medføre forandring i informasjonen du er gitt her. Har vi dine kontaktopplysninger, vil vi gjøre deg oppmerksom på disse forandringene. Ellers vil oppdatert informasjon alltid finnes lett tilgjengelig på våre nettsider.