All behandling av personopplysninger er regulert i EUs personvernregelverk, General Data Protection Regulation (GDPR) som er implementert i alle EØS-land.
«Personopplysninger» er opplysninger og vurderinger som kan knyttes til eller identifisere en fysisk person, f.eks. navn, telefonnummer, bostedsadresse og epostadresse, IP adresse, bilder eller et identifikasjonsnummer.
Lovgivningen stiller strenge krav til behandlingen av personopplysninger. For å kunne behandle personopplysninger, kreves blant annet et klart definert formål og ett rettslig grunnlag for behandlingen (som eksempel at behandlingen er nødvendig for å oppfylle en avtale med deg eller at du har samtykket til behandlingen). Det stilles også krav til konfidensialitet og sikkerhet, innebygd personvern, vurdering av personvernkonsekvenser og krav om at vi som selskap skal oppfylle dine rettigheter.
I henhold til personvernregelverket er behandlingsansvarlig den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler vi skal bruke. I enkelte tilfeller kan man også ha felles behandlingsansvar der partene sammen bestemmer rammene for behandlingen. En databehandler er den som behandler personopplysningene på vegne av behandlingsansvarlig og da må det foreligge en avtale mellom partene om rammene for behandling.
Datatilsynet fører tilsyn med GDPR og utfyllende nasjonale lover. For mer informasjon om personvern, herunder ytterligere veiledning se Datatilsynets nettsider.
2.1 Slik behandler vi personopplysningene dine
Onninen behandler personopplysninger som behandlingsansvarlig i ulike situasjoner. Dette finner du mer informasjon om i denne personvernerklæringen.
Det formelle ansvaret for behandlingen av personopplysningene ligger hos daglig leder i Onninen. Onninen har utpekt registereiere og databeskyttelseskoordinatorer for å bistå med å forvalte ansvaret. Onninen er et heleid datterselskap av det finske Onninen Oyj som igjen er heleid datterselskap av det finske Kesko Oyj (samlet kalt Kesko). I Kesko er det også utpekt en felles data protection officer (personvernombud) for hele Kesko konsernet. Kontaktinformasjon finner du nederst i denne personvernerklæringen.
Vi samler inn og bruker personopplysninger til ulike formål og med ulike behandlingsgrunnlag, avhengig av hvilken relasjon du eller din bedrift har med oss, dine preferanser og eventuelle samtykker. Vi oppbevarer personopplysningene så lenge det er nødvendig for det lovlige formålet som personopplysningene samles inn for, hvoretter de slettes eller anonymiseres. Dette gir vi mer informasjon om i det følgende. Informasjonen får vi hovedsakelig fra deg eller gjennom offentlig tilgjengelig informasjon. Dersom vi deler informasjonen med andre har vi beskrevet det i forbindelse med den aktuelle behandlingen.
2.2 Generelle behandlingsaktiviteter
Besøkende
Besøkende i Onninens lokaler blir bedt om å registrere sin ankomst med navn, kontaktinformasjon og eventuelt hvilket selskap de representerer. Denne informasjonen er viktig for Onninen for å kunne ha kontroll på hvem som oppholder seg i våre lokaler til enhver tid, og det rettslige grunnlaget er vår berettigete interesse i å ha slik kontroll. Slik besøksinformasjon lagres for en begrenset periode, med mindre den besøkende samtykker til at informasjonen lagres i en lenger periode angitt i samtykket. Den aktuelle lagringstiden informeres ved hver enkelt lokasjon.
Deltagelse på kurs og aktiviteter
Onninen tilbyr en rekke kurs og aktiviteter, både på nett og fysisk tilstedeværelse, der vi behandler informasjon om deltakerne som navn, arbeidsgiver eller annen tilknytning til oss, tittel/rolle og kontaktinformasjon. Det rettslige grunnlaget for behandlingen er vår berettigete interesse i å administrere kurset eller aktivitetene, og for å dokumentere deltagelse.
For kunder behandles slik informasjon i tråd med ordinær kundebehandling. Dersom du ikke er kunde hos oss, slettes informasjonen ett år etter avholdelse med mindre du har avgitt samtykke til at vi kan beholde slik informasjon for fremtidige arrangementer. Da vil informasjonen bli lagret og eventuelt delt med andre, i tråd med det aktuelle samtykket.
Leverandører og samarbeidspartnere
Onninen har en rekke leverandører og samarbeidspartnere. For å kunne dokumentere, administrere og gjennomføre oppgaver i tilknytning til disse vil vi behandle personopplysninger som kontaktperson, kontaktinformasjon, tittel og rolle, samarbeidsdialog via ulike kanaler, samt eventuell påloggingsinformasjon til produkter og tjenester som inngår i relasjonen. Det rettslige grunnlaget for behandlingen er å oppfylle vår avtale med leverandøren eller samarbeidspartneren, samt vår berettigede interesse i å administrere slike tredjeparter.
Vi oppbevarer personopplysningene så lenge det er en aktiv relasjon med slik tredjepart, og inntil 3 år etter avsluttet relasjon for å kunne følge opp nødvendige forpliktelser eller rettigheter overfor den aktuelle tredjepart.
Kundeportal og e-post
Onninen benytter kundeportal, og e-post som en del av det daglige arbeidet og i alminnelig dialog med interne og eksterne kontakter.
Det rettslige grunnlaget for denne behandlingen er vår berettigete interesse, samt potensielle avtaleforpliktelser og rettslige forpliktelser.
Slik dialog lagres i våre systemer dersom det er nødvendig og relevant for eksempel for et kundeforhold eller annen nødvendig dokumentasjon. Slik informasjon slettes i henhold til sletterutinene for den aktuelle relasjonen (for eksempel kundeforholdet) eller det aktuelle dokumentasjonsbehovet.
Våre ansatte er ansvarlig for å slette ustrukturerte personopplysninger i e-poster som ikke lenger er aktuelle, og minst hvert år gjennomgå og slette unødvendig innhold i sin e-postkasse.
Det gjøres for øvrig oppmerksom på at vanlig e-post er ukryptert. Det bes derfor om at det ikke sendes taushetsbelagte, sensitive eller andre fortrolige opplysninger til Onninen via e-post.
Generelt om våre rettslige forpliktelser
Vi behandler personopplysninger for å oppfylle våre forpliktelser i henhold til lov, forskrifter eller myndighetsbeslutninger. Dette gjelder eksempelvis lagring av regnskapspliktig materiale i henhold til lokal lovgivning, for å etterkomme pålegg fra retten eller andre offentlige myndigheter. Det rettslige grunnlaget for denne behandlingen er å oppfylle våre rettslige forpliktelser, og vi lagrer opplysningene i henhold til de aktuelle lovkrav.
Generelt om sikkerhet
Det er nødvendig for oss å behandle personopplysninger for å sikre dine og Onninens verdier. Dette gjøres for eksempel gjennom tilgangsstyring, logging på servere og systemer, drift av infrastruktur, brannmurer og adgangskontroll.
Det rettslige grunnlaget for denne behandlingen er hovedsakelig å oppfylle våre rettslige forpliktelser. Behandlingsgrunnlaget kan også gjelde forpliktelser som er beskrevet i avtale med våre kunder, samt vår berettigede interesse i å ivareta dine og våre verdier. Lagringstiden vil være avhengig av formålet og det rettslige grunnlaget for behandlingen.
2.3 Særskilt om rekruttering
Onninen behandler personopplysninger i forbindelse med rekruttering hovedsakelig som såkalt behandlingsansvarlig eller felles behandlingsansvarlig.
Vi opptrer som behandlingsansvarlig når vi behandler personopplysninger som sendes til oss sammen med en søknad på stilling hos Onninen.
I enkelte tilfeller kan Onninen ha felles behandlingsansvar med tredjeparter, for eksempel rekrutteringsselskap, som sammen med Onninen bestemmer hvordan personopplysningene behandles. Ansvarsfordeling, formål med behandlingen og hjelpemidler som skal benyttes er da særskilt regulert i egen avtale om felles behandlingsansvar. Onninens rekrutteringsdatabase ligger hos firmaet «Jobb Norge.»
Onninen kan også dele personopplysninger med eventuelle databehandlere som bistår oss i rekrutteringsprosessen, for eksempel rekrutteringsselskaper som bistår med vurdering av kandidater, tilbydere av personlighetstester osv. Denne behandlingen er regulert i egne databehandleravtaler med Onninen konkrete instrukser for databehandlers håndtering av personopplysningene.
Søknad på konkret stilling
Onninen behandler personopplysninger som er nødvendige for å vurdere om en søker er egnet til å fylle den stillingen som skal besettes. Hva som er nødvendig vil variere fra stilling til stilling. Det behandles personopplysninger som du selv avgir i forbindelse med rekrutteringsprosessen, herunder navn og kontaktopplysninger, opplysninger om utdannelse, arbeidserfaring og andre kvalifikasjoner, samt eventuelle bilder du deler. Dette baserer seg på vår berettiget interesse i å kunne vurdere din søknad og egnethet for stillingen.
For de som ansettes i Onninen vil noe av informasjonen fra rekrutteringen videreføres i våre systemer. Dette er typisk informasjon som du har gitt oss i din søknad og CV. Slik informasjon lagres under hele ansettelsesforholdet, og er beskrevet under.
Behandlinger i forbindelse med rekrutteringsprosessen, som personlighets- og evnetester, uttalelser fra referanser, innstillinger og intervjunotater etc. slettes 12 måneder etter endt ansettelsesprosess. Eventuelle kredittsjekker og andre bakgrunnssjekker, herunder politiattest slettes etter gjennomført sjekk. Onninen vil imidlertid lagre nøytrale opplysninger om at slik sjekk er gjennomført under hele ansettelsesforholdet.
2.4 Særskilt om digitale kanaler, kunder og markedsføring
Onninen behandler personopplysninger om kunder, potensielle kunder og besøkende på våre sosiale og digitale kanaler, hovedsakelig som såkalt behandlingsansvarlig.
Dette gir vi mer informasjon om under.
Potensielle kunder
Besvare henvendelser: Før et kundeforhold er etablert, behandler vi personopplysninger som navn, arbeidsforhold, tittel/rolle og det du etterspør, for å kunne administrere henvendelser til oss. Vi vil behandle og dele personopplysninger internt, for å kunne besvare din henvendelse på best mulig måte. Denne behandlingen baserer vi på avtale om å besvare din henvendelse. Slik informasjon slettes fortløpende når henvendelsen er besvart tilfredsstillende.
Opprettelse av leads: Basert på vår berettigete interesse utarbeider vi også oversikt over potensielle kunder og kontaktpersoner basert på offentlig tilgjengelig informasjon. Slik informasjon lagres i ett år.
Dersom du avgir ett samtykke når du henvender deg til oss, vil vi også registrere deg som et lead hos oss, og behandle informasjonen i tråd med det aktuelle samtykket.
Kunder
Når du eller den virksomheten du jobber for, er kunde av oss, behandler vi personopplysninger for å dokumentere, administrere og gjennomføre oppgaver i tilknytning til våre leveranser. Dette kan blant annet være i forbindelse med varelevering og fakturering, osv. Vi vil behandle navn på kunder (som er en personopplysning dersom du er et enkeltmannsforetak), kundekontakt, herunder kontaktinformasjon, tittel og rolle, kundedialog via ulike kanaler, samt eventuell påloggingsinformasjon (brukernavn) som inngår i kundeforholdet. Det rettslige grunnlaget for behandlingen er å oppfylle avtalen med kunden, samt vår berettigede interesse i å administrere kundeforholdet.
Vi oppbevarer personopplysninger i tilknytning til kundeforholdet så lenge det er et aktivt kundeforhold med Onninen, og inntil 5 år etter avsluttet kundeforhold for å ivareta egne og den tidligere kundens interesser i en periode etter opphør.
I tillegg kan Onninen basert på våre rettslige forpliktelser lagre kundeinformasjon i henhold til lovpålagte krav dersom dette fremgår i slik dokumentasjon, for eksempel regnskapspliktig materiale.
Konsernkunderegister
Onninen og Elektroskandia har et felles konsernkunderegister.
Formålet med konsernkunderegisteret er å administrere kundeforholdet og samordne tilbudet av tjenester fra de forskjellige selskapene i konsernet.
Konsernkunderegisteret inneholder alminnelige profilopplysninger om som selskapsnavn, adresse og informasjon om kontaktperson hos kunden, opplysninger om hvilket konsernselskap bedriftskunden er kunde i og hvilke produkter bedriftskunden har avtale om.
Onninen har en berettiget interesse i å administrere kundeforholdet og samordne tilbudet av tjenester fra de forskjellige selskapene i gruppen.
Selskapene har et felles behandlingsansvar for opplysningene i registeret.
Du kan som kunde til enhver tid utøve dine rettigheter overfor hvert av selskapene.
Markedsføring
Vi behandler personopplysninger for å markedsføre våre produkter og tjenester, samt for å sende ut spørreundersøkelser og invitasjoner til arrangementer og webinar. Markedsføringsaktivitetene inkluderer blant annet segmentering av målgrupper for markedsføring, markedsføring basert på kjøp eller bruk av tjenester hos oss m.m., utsendelse av nyhetsbrev og andre former for lovlig markedsføring.
Det rettslige grunnlaget for denne behandlingen er hovedsakelig vår berettigede interesse i å markedsføre Onninens produkter og tjenester. I enkelte tilfeller vil det rettslige grunnlaget være samtykke. Dette gjelder først og fremst utsendelse av elektronisk markedsføring som for eksempel e-post og sms.
Ved opphør av et kundeforhold vil vi kun benytte informasjonen til direkte elektronisk markedsføring dersom du har samtykket til dette. Du har tilgang til dine samtykker der samtykkene først ble gitt. Her kan du enkelt og når som helst endre eller trekke tilbake dine samtykker.
Analyser og produktutvikling
Vi bruker sammenstilte data for å gjennomføre analyser som hjelper oss å forstå potensielle og eksisterende kunders behov. Vi bruker slik informasjon til å analysere hvordan våre produkter og tjenester, samt sosiale og digitale kanaler brukes, slik at vi kan videreutvikle disse for å kunne tilby mest mulig verdi.
Denne typen aktiviteter gjøres hovedsakelig på aggregerte (sammenstilte) data, men kan i enkelte tilfeller også innebære behandling av IP adresser. Det rettslige grunnlaget for denne behandlingen er vår berettigede interesse i å forstå og tilpasse oss våre kunders behov for å videreutvikle våre produkter og tjenester.
Våre nettsider
Når du besøker våre nettsider bruker vi informasjonskapsler, også kalt Cookies. Dette er små filer som plasseres på datamaskinen din når du laster ned en nettside. På Onninens nettsider setter vi ingen informasjonskapsler utenom de nødvendige før du har avgitt ditt samtykke i vår erklæring. Her finner du også informasjon om hvordan vi lagrer og deler slike informasjonskapsler https://www.onninen.no/informasjonskapsler
Sosiale medier
Onninen har opprettet sider på ulike sosiale medieplattformer, for å formidle informasjon og markedsføring om oss, samt engasjere oss i dialog med våre interessenter. Vi har felles behandlingsansvar med driftere av slike plattformer som Onnine side på Facebook, Instagram og LinkedIn. Onninen har en berettiget interesse i å forstå og kommunisere med interessenter i sosiale medier, som har valgt å følge oss og kontakte oss, mens det aktuelle sosiale mediet har sitt rettslige grunnlag beskrevet i sin aktuelle personvernerklæring.
Hvis du besøker, liker eller deler innholdet vårt i sosiale kanaler som Facebook, Instagram, YouTube og LinkedIn settes pixler for å sammenstille data til målrettede annonser mot segment. Dette kan ikke knyttes direkte til deg som person. Her kan du lese mer om hvordan sammenstilt data brukes for å vise annonser uten at annonsøren får vite hvem du er:
Facebook og Instagram https://www.facebook.com/ads/about/?entry_product=ad_preferences
LinkedIn https://www.linkedin.com/legal/privacy-policy
YouTube (eies av Google) https://policies.google.com/privacy
2.5 Særskilt om Elfag kjeden
Onninen drifter Elfag kjeden. For å kunne dokumentere, administrere og gjennomføre oppgaver i tilknytning til kjededrift behandler Elfags kjedekontor personopplysninger som kontaktperson, kontaktinformasjon, tittel og rolle, samarbeidsdialog via ulike kanaler. Det rettslige grunnlaget for behandlingen er å oppfylle vår avtale med medlemmet.
Vi oppbevarer personopplysningene så lenge det er et aktivt medlemskap, og slettes umiddelbart etter opphør av Elfag medlemskapet.
For arrangementer som Elfag kjedekontoret selv arrangerer for medlemmene vises det til Deltagelse på kurs og aktiviteter over i punkt 2.2. Der ekstern tredjepart benyttes for å avholde arrangementet vises det til aktuell tredjepart og samtykket som avgis i forbindelse med påmeldingen.
2.6 Generelt om deling av personopplysninger
Utlevering av personopplysninger som følge av rettslige pålegg
I den utstrekning det er pålagt ved lov eller rettslig avgjørelse eller nødvendig for etterforskning av mulige lovbrudd mot vår egen virksomhet vil relevante opplysninger kunne bli utlevert til offentlige myndigheter eller eventuelle andre berettigede.
Behandling av opplysninger hos våre leverandører
Leverandører som utfører tjenester til eller på vegne av Onninen, herunder hjelper oss med drift av virksomheten, vil normalt være databehandler, og følgelig kunne få tilgang til personopplysninger. Databehandler kan ikke bruke opplysningene til andre formål enn det de er innhentet til, og som bestemt av Onninen. Egne databehandleravtaler regulerer alle personopplysninger som behandles av disse leverandørene.
I forbindelse med virksomhetsoverdragelse
Personopplysninger vil i enkelte tilfeller kunne deles i forbindelse med fusjon, oppkjøp, salg av Onninens eiendeler eller overføring av tjenester til et annet selskap. I slike tilfeller sørger vi for at deling skjer i overensstemmelse med denne personvernerklæring og i henhold til gjeldende personvernlovgivning.
Utlevering av personopplysninger til land utenfor EØS-området
I enkelte tilfeller kan det hende vi benytter leverandører eller samarbeidspartnere som behandler personopplysninger i land utenfor EØS-området. I slike tilfeller sørger vi for at opplysningene er overført i overensstemmelse med denne personvernerklæring og i henhold til gjeldende personvernlovgivning, og eventuelle godkjente standardavtaler og sertifiseringsordninger.
Onninen arbeider planlagt og systematisk med å beskytte personopplysninger. Gjennom god internkontroll og god informasjonssikkerhet sikrer vi at vi behandler personopplysninger lovlig, sikkert og forsvarlig.
Vi skal ivareta den registrertes rettigheter og friheter, samtidig som vi oppfyller virksomhetens lovlige formål med behandlingen. Etter personvernregelverket innebærer det en forholdsmessighet hvor vi ser på behandlingens art, omfang, formål og sammenheng, samt risikoene for fysiske personers rettigheter og friheter, og ut fra det gjennomfører vi egnede tekniske og organisatoriske tiltak.
Onninen er opptatt av å hindre uautorisert tilgang til og videreformidling av personopplysninger. Vi skal sørge for at de personopplysningene vi behandler behandles konfidensielt, vi skal opprettholde integriteten til personopplysningene, samt sikre at de er tilgjengelige i henhold til gjeldende personvernlovgivning.
I Onninen tror vi på å bygge en sterk bedriftskultur der åpenhet om, respekt for og bevissthet rundt, personvern blant våre ansatte er grunnleggende for å sikre lovlig behandling og beskyttelse av personopplysninger og annen data. Følgende tiltak er spesielt viktige for oss i denne forbindelse:
Organisatoriske tiltak
- På konsernnivå har Kesko dedikerte ressurser som utelukkende jobber med og for personvern for hele Kesko konsernet og det er utpekt ett felles personvernombud for Kesko konsernet.
- Kesko selskapene har dedikerte lokale ressurser som med en strukturert tilnærming oppdateres faglig og forvalter personvernansvaret i samarbeid med ledelsen, og i samarbeid med ressursene på konsernnivå.
- Kesko har dedikerte ansatte som tar strategiske beslutninger, overvåker og styrer konsernets sikkerhetsarbeid.
- Alle ansatte skal gjennomføre opplæring i personvern og informasjonssikkerhet.
- Det gjennomføres bevisstgjøringskampanjer på personvern og sikkerhet for alle ansatte.
- Alle ansatte i Kesko har taushetsplikt om informasjon vi mottar i forbindelse med arbeidet vårt.
- Det er etablert internkontroll ansvar i konsernet med klare retningslinjer rundt personvernhåndtering, herunder personvernkonsekvens-utredninger, protokoll over behandlingsaktiviteter og annen dokumentasjon.
- Alle underleverandører skal inngå databehandleravtale med aktuelt selskap i Kesko-konsernet.
Tekniske tiltak
- Klassifisering av personopplysninger for å sikre at de sikkerhetstiltakene som implementeres står i forhold til vurderingen av risiko.
- Vurdere bruk av kryptering og pseudonymisering som risikoreduserende tiltak.
- Begrense tilgang til personopplysninger til de som trenger tilgang for å oppfylle plikter i henhold til tjenesteavtaler eller lovgivning.
- Bruke systemer som avhjelper og forhindrer avvik.
- Bruke sikkerhetsrevisjoner for å fortløpende vurdere hvorvidt gjeldende tekniske og organisatoriske sikkerhetstiltak er tilstrekkelige.
Fysiske tiltak
- Våre lokaler er beskyttet med adgangskontroll.
Du har rett til å kreve innsyn, retting eller sletting av personopplysningene vi behandler om deg. Du har videre rett til å kreve begrenset behandling, rette innsigelse mot behandlingen og kreve rett til dataportabilitet. Vær oppmerksom på at det foreligger noen unntak fra rettighetene. Du kan lese mer om innholdet i disse rettighetene på datatilsynets sider.
For å ta i bruk dine rettigheter kan du registrere din anmodning ved å sende inn en henvendelse til oss via e-post til personvern@onninen.com
Vi vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å sikre oss at vi kun gir deg tilgang til dine personopplysninger - og ikke til noen som gir seg ut for å være deg. Vi vil svare på din henvendelse så fort som mulig, og senest innen 30 dager med mindre det foreligger særlige omstendigheter (du vil i så fall få beskjed fra oss).
Du skal ha tilgang til dine samtykker der samtykkene først ble gitt, og der skal du enklest og når som helst kunne endre eller trekke tilbake dine samtykker. Dersom du har spørsmål tilknyttet ett samtykke, kan du uansett ta kontakt med oss ved å sende inn en henvendelse via e-post til personvern@onninen.com
Dersom du mener at vår behandling av personopplysninger ikke stemmer med det vi har beskrevet her, eller at vi på andre måter bryter personvernlovgivningen, håper vi du tar kontakt med oss så snart som mulig.
Onninen ønsker at alle hendelser og avvik som kan påvirke personvernet eller informasjonssikkerheten skal meldes til oss så snart som mulig via e-post til personvern@onninen.com
Alle henvendelser blir håndtert og fulgt opp i vårt saksbehandlingssystem av dedikerte personvernressurser i tråd med våre interne prosedyrer. Når du melder en sak hos oss vil du også få informasjon om hvordan du kan komme i kontakt med oss for å følge opp saken din.
Du kan også alltid ta direkte kontakt med vårt personvernombud, se kontaktinformasjon under.
Du har rett til å klage til Datatilsynet, informasjon om hvordan kontakte Datatilsynet finner du på Datatilsynets nettsider.
Med jevne mellomrom må vi oppdatere denne personvernerklæringen for å gi deg korrekt informasjon om hvordan vi behandler personopplysninger. Kommer det vesentlige endringer, informerer vi deg selvsagt om dette.
Som en del av Kesko konsernet har vi felles personvernombud. Du kan alltid kontakte personvernombudet i Kesko Oyj hvis du har spørsmål knyttet til behandling av personopplysninger eller utøvelse av dine rettigheter overfor Kesko-konsernet.
Kontaktopplysninger for personvernombudet:
E-postadresse: tietosuojavastaava@kesko.fi
Postadresse: Kesko Oyj, DPO, PL 1, 00016 Kesko, Finland
Behandlingsansvarlig er:
Onninen AS
Postboks 117
2021 Skedsmokorset
For spørsmål som gjelder personvernerklæringen eller andre personvernspørsmål, kan du alltid kontakte oss ved å sende inn en henvendelse via e-post til personvern@onninen.com