Personvernerklæring (GDPR)

Personvernerklæring – Årdal Maskinering
 
Omfang: Denne personvernerklæringen gjelder for kunder av og leverandører til  Årdal Maskinering

Definisjoner:
PO = personopplysninger
ÅM = Årdal Maskinering
Representanten = kunde- og/eller leverandørrepresentant
 
Generelt:
GDPR (General Data Protection Regulation) er EU`s forordning for personvern, som gjelder fra 01.07.2018.
ÅM er forpliktet til behandle PO i henhold til dette regelverket.
All behandling av PO vil skje i samsvar med gjeldene lover, og ÅM vil kun benytte slik informasjon til uttrykkelig angitte og legitime formål.
 
ÅM er behandlingsansvarlig (=juridisk ansvarlig) for PO som behandles om våre ansatte, kunder, leverandører og besøkende.
ÅM har en egen personvernerklæring for de ansatte.
 
ÅM har kartlagt og risikovurdert behandling av PO.
ÅM behandler ikke sensitive personopplysninger.
 
Type opplysninger:
PO som behandles er hovedsakelig kontaktinformasjon om representanten:
navn og adresse, telefonnummer og epostadresse.
I noen tilfeller behandles kompetansebevis for leverandørrepresentanter.
Alle opplysninger lagres i kunde/leverandørregister i Rambase (ERP program), og/eller på vår server.
PO som lagres i forbindelse med besøk, lagres hos leverandøren.
 .
Formål:
ÅM har følgende formål med behandlingen:
Lagring av kontaktinformasjon om representanter i forbindelse med nødvendig kommunikasjon, salg, innkjøp, oppfølging av ordrer o.l.
Lagring av kompetansebevis: verifisering av påkrevd kompetanse.
Lagring av kontaktinformasjon for markedsføring mot eksisterende og potensielle kunder
Lagring av kontaktinformasjon til potensielle kunder/leverandører.
Registrering av besøkende: Oversikt ved evakuering, automatisk meldingstjeneste til vert, tilgangsstyring til produksjonshall.
Registrere og utlevere informasjon pålagt av myndigheter eller knyttet til sikkerhet 
Alle registrerte PO, brukes kun til å ivareta våre forpliktelser og interesser som kunde/leverandør.
 
 
 
Kilder:
Personopplysninger kan samles på ulike måter:
direkte fra kunden/leverandøren/representanten selv (eks ved inngåelse av avtale), fra en offentlig eller allment tilgjengelig informasjonskilde (f.eks. nettside).
PO om besøkende samles vha. registrering i registreringsmaskin.


Utlevering til tredjepart:
Vi deler ikke PO med tredje part, utover våre leverandører og samarbeidspartnere, dersom de trenger opplysningene for å kunne levere tjenester til oss.
PO om kunder vil kunne bli formidlet til leverandør og vice versa. Eks. kompetansebevis til leverandørrepresentant videresendes til kunde, i de tilfeller kunde krever dette. 
Det vil aldri bli gitt flere opplysninger enn det som er nødvendig, eller til tredje part som ikke er relevant for formålet.
 
Dersom vi utleverer personopplysninger, inngår vi avtaler med de aktuelle tredjepartene som begrenser deres anledning til å bruke opplysningene. Vi vil også kunne utlevere opplysninger i enkelttilfeller pålagt ved lov. (eksempelvis til offentlige myndigheter dersom disse krever det).  


Bruk av databehandlere:
ÅM bruker flere databehandlere som behandler PO på våre vegne.
Alle databehandlere har høy grad av sikkerhet for de registrerte.
ÅM har inngått databehandleravtale med disse.


Dette omfatter:
-IT ansvarlig hardware (servere / IT park)
-Registreringssystem (besøkende).
-Leverandører av/support på software: ERP system, ledelsessystem for kvalitet, lønnssystem.  


Samtykke:
PO tilknyttet kunde/leverandør forhold er basert på GDPR §6 b:
Behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse. Samtykke er i slike tilfeller ikke nødvendig.
 
Når opplysninger hentes direkte fra den registrerte selv, skal det opplyses at det er frivillig. Den registrerte må samtykke i at ÅM behandler sine PO for ett eller flere spesifikke formål. Samtykket skal registreres.
Samtykket kan trekkes tilbake til enhver tid, dersom det ikke påvirker lovligheten av behandlingen.
 
 
 
Rett til innsyn:
Alle registrerte har rett til innsyn i registrerte PO. De har rett til å be om å få informasjon om hvilke PO vi behandler, formålet med behandlingen og håndteringen av disse. Krav om innsyn, sletting og korrigering må skje skriftlig.
 
ÅM skal svare på henvendelser om innsyn eller andre rettigheter etter personopplysningsloven § 18, 22, 25, 27 og 28 (GDPR Artikkel 15, 16, 17 og 20) uten ugrunnet opphold, og senest innen 30 dager fra den dagen henvendelsen kom inn, med mindre særlige forhold gjør det umulig å svare på henvendelsen innen denne fristen. ÅM skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.
 
Korrigering/sletting/arkivering:
Dersom ÅM behandler PO som er mangelfulle, uriktige eller som det ikke er adgang til å behandle, kan den registrerte innenfor de begrensninger som er fastsatt i Personopplysningsloven og annen lovgivning kreve å få rettet eller slettet PO.
Videre kan dette også kreves dersom behandlingen av PO ikke lenger er nødvendig for å oppfylle formålet de bles samlet inn for, eller dersom behandlingen baserer seg på ditt samtykke og du trekker dette tilbake. Behandlingen vil være nødvendig dersom den er lovpålagt.
 
PO tilknyttet kunde/leverandør forhold blir oppbevart så lenge det foreligger et kunde/leverandør forhold, eller til ÅM har mottatt informasjon om at en representant ikke lenger er ansatt.
ÅM gjennomgår kunde og leverandør register årlig og sletter personopplysninger som ikke lenger er relevante for formålet. 
Unntak: dersom lover og myndigheter krever at personopplysninger skal oppbevares lenger


Personopplysninger vil ikke lagres lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen.
 
Personvernombud:
ÅM har valgt å ikke ha personvernombud. Ansvarlig: se kontaktinformasjon
 
Rettslig grunnlag:
Årdal Maskinering behandler PO for å ivareta arbeidsrettslige forpliktelser. PO tilknyttet kunde/leverandør forhold er basert på GDPR §6 b:
Behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse


Brudd på personvern - avvikshåndtering
ÅM har plikt til å registrere og melde alle avvik som skyldes brudd på datasikkerheten til Datatilsynet innen 72 timer. Unntaket er dersom det er usannsynlig at avviket medfører en risiko for enkeltpersoners rettigheter eller personvern.
 
Informasjonssikkerhet
Vi er opptatt av informasjonssikkerhet, og har implementert rutiner for å sikre konfidensialitet og integritet i de registrertes data.
ÅM har iverksatt tiltak som innebærer både organisatoriske og tekniske tiltak slik som rolle- og tilgangsstyring og krav til innebygget personvern i våre IT-systemer.
Utvidet informasjon om informasjonssikkerhet i ÅM er tilgjengelig på forespørsel.
 
Barns personvern
Vi vil aldri bevisst samle inn eller vedlikeholde personopplysninger om barn under 13 år.
Barn som besøker bedriften, må være i følge med voksne, og registreres i den voksne sitt navn.
Vår nettside er ikke konstruert for eller rettet mot barn under 13 år.
 
Endringer i personvernerklæringen
Det kan forekomme endringer i vår personvernerklæring. Dato for siste endring er 20.06.2018. Vi oppfordrer interesserte til å jevnlig undersøke vår nettside for endringer.
 
Kontaktinformasjon
Hvis du har spørsmål eller ønsker å utøve dine rettigheter som registrert, kan du ta kontakt med bedriftens ansvarlige for personvern:  
Frode Hegle, KHMS leder.
Tlf: 91143294. Epost: fhegle@aardal.as
Sentralbord: 51798550