Personvernerklæring
Denne personvernerklæringen representerer personvernreglene som gjelder for Scana ASA og enhver juridisk enhet som direkte eller indirekte eies med mer enn 50% av Scana ASA (heretter referert til som «Scana», «vi» eller «oss»), med mindre en slik juridisk enhet har sin egen personvernerklæring. Denne personvernerklæringen gjelder også for scana.no.
Når du er i kontakt med oss, kan det være nødvendig for oss å behandle personopplysninger om deg. Vi bryr oss om ditt personvern og tar dette på alvor. Vi har derfor utarbeidet denne personvernerklæringen for å gi deg informasjon om hvordan vi behandler dine personopplysninger og dine rettigheter knyttet til personvern.
Behandling av personopplysninger i Scana
Scana vil i forbindelse med vår virksomhet behandle personopplysninger.
Vår behandling som behandlingsansvarlig av personopplysninger er basert på den virksomhet vi driver og formålet med vår virksomhet. Informasjon om personopplysninger vi behandler om deg, det lovlige grunnlaget med behandlingen, formålet med behandlingen, hvor lenge vi behandler personopplysningene, mv. er beskrives i denne erklæringen.
Om du har spørsmål eller ønsker å vite mer om vår behandling av personopplysninger, så kan du kontakte oss – se kontaktopplysninger nedenfor.
Ansvarlig for behandling av personopplysninger
Scana er behandlingsansvarlig, dvs. bestemmer hvorfor og hvordan personopplysningene skal behandles, for behandling som omtales nedenfor.
Kontaktopplysninger for behandlingsansvarlig:
Adresse: Wernerholmvegen 49
E-post: info@scana.no
Telefon: +47 51 86 94 00
Organisasjonsnr.: 928 613 941
Hvorfor samler vi inn personopplysninger og hva slags informasjon samler vi inn
Vi samler inn og bruker personopplysninger til ulike formål avhengig av hvem du er og hvordan vi kommer i kontakt med deg.
Hvilke personopplysninger vi samler inn, formålet med dette, og det rettslige grunnlaget for slik behandling, avhenger av vårt forhold til deg og din kontakt med oss. En oversikt over vår behandling i ulike situasjoner følger nedenfor.
Vi utfører ikke profilering eller helautomatisert behandling av dine personopplysninger.
Med «behandling» menes alt som foretas med personopplysninger, som innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
Når du kontakter oss
Når du kontakter oss, for eksempel i forbindelse med media, gjennom vår nettside eller på andre måter, vil vi behandle personopplysninger om deg.
Personopplysningene vi samler inn, vil typisk være kontaktinformasjon som navn, e-postadresse og annen informasjon du deler med oss, og som er nødvendig for å kunne besvare din henvendelse.
Vårt behandlingsgrunnlag er vår berettigede interesse. Den berettigede interessen er behovet for å kunne svare på din henvendelse.
Vår forretningsaktivitet
Hvis du er ansatt hos en av våre partnere, leverandører eller kunder, eller hvis du kontakter oss i forbindelse med vår investeringsaktivitet eller finansiering, kan det være nødvendig for oss å behandle personopplysninger om deg.
Personopplysninger vi behandler i denne sammenhengen, vil ofte være kontaktinformasjon som navn, e-postadresse og telefonnummer, samt informasjon om din arbeidsgiver og din stilling. Videre vil vi behandle annen informasjon du gir oss, eller som fremkommer gjennom vår kontakt, i den grad det er nødvendig for den spesifikke prosessen.
Behandlingsgrunnlaget er vår berettigede interesse i å kunne utføre oppgaver knyttet til vår forretningsaktivitet, inkludert for eksempel samarbeid med din arbeidsgiver.
Juridiske forpliktelser
Vi er pålagt å behandle personopplysninger i enkelte tilfeller, for eksempel for å dokumentere overholdelse av plikter innen skatt, regnskap eller juridiske prosesser. Dette kan inkludere behandling av personopplysninger om deg, for eksempel hvis ditt navn er oppført på en faktura eller kontrakt som er underlagt oppbevaringsplikt.
Behandlingsgrunnlaget for dette er en rettslig forpliktelse vi er underlagt.
Informasjonen slettes når formålet med behandlingen er oppfylt, for eksempel når rapporteringsplikten er oppfylt eller vi ikke lenger er pålagt å oppbevare informasjonen.
Due diligence
I forbindelse med vår forretningsaktivitet kan vi gjennomføre due diligence-prosesser (selskapsgjennomgang) av andre selskaper (forretningspartnere). Dette arbeidet kan inkludere innhenting av personlige erklæringer, taushetserklæringer samt bakgrunns- og sikkerhetsvurderinger av ansatte i det aktuelle selskapet.
Behandlingsgrunnlaget for dette er vår berettigede interesse i å verifisere våre forretningspartnere og opprettholde nødvendige kvalitets- og sikkerhetsnivåer i våre prosesser, tjenester, leveranser og lokaler.
I forbindelse med jobbsøknader
Når du søker jobb hos oss, vil vi samle inn personopplysningene du deler med oss. Dette inkluderer vanligvis navn, kontaktinformasjon, kompetanse, erfaring og bilde. Under rekrutteringsprosessen vil vi også samle inn informasjon om hvilket land du bor i, arbeids- og oppholdstillatelse, lønnsinformasjon og referanser du oppgir, inkludert informasjonen de deler med oss.
Formålet med behandlingen er å vurdere hvorvidt vi skal tilby deg en stilling hos oss. Vårt behandlingsgrunnlag for å behandle personopplysningene dine er at dette er nødvendig for å inngå en eventuell avtale med deg om fast eller midlertidig ansettelse.
For kandidater som ikke blir ansatt, vil CV og søknad bli slettet når en person er ansatt i stillingen du søkte på, og senest innen tre måneder. Hvis vi ønsker å beholde din CV og søknad, vil vi be om ditt samtykke til dette, og dokumentene vil da bli lagret i våre interne systemer for vurdering i forbindelse med andre relevante stillinger som kan være av interesse senere.
Når du registrerer deg for å motta vårt nyhetsbrev og børsmeldinger
Når du registrerer deg for å motta våre nyhetsbrev og børsmeldinger, vil vi registrere din e-postadresse for å kunne sende deg informasjonen du ønsker å abonnere på.
Formålet med denne behandlingen er å kunne sende deg nyhetsbrevene og børsmeldingene, eller annen informasjon du har bedt om eller meldt deg på for å motta. Behandlingsgrunnlaget for dette er det samtykket du gir når du registrerer deg for å motta nyhetsbrevene.
Du kan trekke tilbake ditt samtykke når som helst ved å følge prosedyren beskrevet nederst i alle våre nyhetsbrev. Når du trekker tilbake ditt samtykke, vil vi fjerne deg fra mottakerlisten.
Når du deltar på våre arrangementer
Hvis du melder deg på et av våre arrangementer, kan vi registrere personopplysninger som navn, kontaktinformasjon og, hvis ønskelig, preferanser knyttet til gjennomføring, mat og drikke, reise og overnatting.
Behandlingsgrunnlaget for denne informasjonen er ditt samtykke. Vi vil innhente ditt samtykke for dette.
Informasjonen vil bli slettet etter at arrangementet er avsluttet, med mindre vi har et annet rettslig grunnlag for å beholde informasjonen lenger.
Oppbevaring og lagring (sletting) av personopplysninger
Vi oppbevarer personopplysninger så lenge det er nødvendig for det formål personopplysningene ble samlet inn for, og sletter opplysningene i tråd med krav i regelverket. Hvor lenge vi behandler de enkelte typene opplysninger vi behandler, er tatt inn i punktene ovenfor hvor de enkelte behandlinger omtales.
Dette betyr for eksempel at personopplysninger som vi behandler på grunnlag av ditt samtykke slettes hvis du trekker ditt samtykke. Personopplysninger vi behandler for å oppfylle en avtale med deg slettes når avtalen er oppfylt og alle plikter som følger av avtaleforholdet er oppfylt, som f.eks. lovmessige plikter knyttet til regnskapsføring, oppfølging av kundeforholdet knyttet til reklamasjon mv. Personopplysninger vi behandler som følge av lovmessig plikt, vil slettes så snart vi ikke har plikt til å oppbevare opplysningene.
Utlevering av personopplysninger til andre
Vi gir ikke personopplysningene dine videre til andre med mindre det foreligger et lovlig grunnlag for dette. Eksempler på slikt grunnlag vil typisk være en avtale med deg eller lovmessig plikt som pålegger oss å gi ut informasjonen.
Vi bruker databehandlere til å samle inn, lagre eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller har vi inngått avtaler for å ivareta informasjonssikkerheten i alle ledd av behandlingen.
Tjenesteleverandører
Vi engasjerer leverandører til å utføre ulike oppgaver på våre vegne, som for eksempel: nettsideadministrasjon, programvare- og datalagring, innholdsforvaltning, databaseadministrasjon, teknisk integrasjon, markedsføringsautomatisering, analyse, optimalisering av nettsiden, gjennomføring av kundeundersøkelser og betalingsbehandling.
Det kan forekomme situasjoner der tjenesteleverandøren samler inn data direkte fra deg, og i slike tilfeller kan deres personvernerklæringer også være gjeldende.
Dersom du har spørsmål om vår behandling av personopplysninger eller ønsker mer informasjon om våre databehandlere, vennligst kontakt oss.
Sikkerhet for behandlingen
All behandling av personopplysninger sikres med de påkrevede tekniske og organisatoriske tiltak.
Vi håndterer informasjon slik at den er riktig, tilgjengelig og håndtert i henhold til grad av sensitivitet på opplysningene. Vi benytter også en rekke sikkerhetsteknologier og informasjonssikkerhets-prosedyrer for å beskytte personopplysningene fra uautorisert tilgang, bruk eller formidling. Det gjennomføres risikovurderinger for behandling av personopplysninger.
Vi har inngått databehandleravtaler med alle våre leverandører som behandler personopplysninger, hvor de påtar seg samme grad av sikkerhet som vi har for vår behandling av personopplysninger.
Vi begrenser tilgangen til personopplysninger til det personalet eller de tredjepartene som skal behandle opplysningene på våre vegne. Disse partene er underlagt konfidensialitetsplikt.
Det er etablert rutiner for håndtering av brudd på informasjonssikkerhet og rutiner (personvernbrudd), og vi vil, dersom det foreligger brudd som medfører risiko for personvernet til de personopplysningene gjelder, sende avviksmelding til Datatilsynet så raskt som mulig og senest innen 72 timer etter bruddet ble oppdaget. Medfører bruddet høy sannsynlighet for personvernet til de bruddet gjelder, vil vi også varsle disse.
Dine rettigheter når vi behandler personopplysninger om deg
Nedenfor følger dine rettigheter for behandlingen av personopplysninger. For å ta i bruk dine rettigheter må du kontakte oss gjennom kontaktinformasjonen som er angitt ovenfor.
Vi vil svare på din henvendelse til oss så fort som mulig, og senest innen én måned. Tar det lenger tid enn én måned vil du få beskjed.
Vi vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg – og ikke noen som gir seg ut for å være deg.
Informasjon
Du har rett til å få informasjon om de personopplysninger vi behandler om deg. Gjennom denne erklæringen informerer vi deg om vår behandling av personopplysninger. Du kan også kontakte oss om du ønsker mer informasjon.
Innsyn
Du har rett til å kreve innsyn i personopplysningene som behandles om deg. Ta kontakt med oss om du ønsker innsyn.
Endring og sletting
Du kan også be oss om å rette feilaktige opplysninger vi har om deg eller be oss om å slette personopplysninger. Vi vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men vi kan ikke gjøre dette dersom vi fremdeles har behov for opplysningene.
Behandling på grunnlag av samtykke
Behandler vi personopplysninger på grunnlag av ditt samtykke, så kan du til enhver tid trekke tilbake samtykket. Den enkleste måten å gjøre dette på, er å bruke den måte som er opplyst om da du ga samtykket eller kontakte oss.
Rett til å begrense eller protestere mot behandlingen
Du har rett til å få behandlingen begrenset i visse tilfeller, se GDPR artikkel 21, som:
- Du bestrider riktigheten av personopplysningene – behandlingen stanses i en periode som gjør det mulig for oss å kontrollere riktigheten av personopplysningene.
- Behandlingen er ulovlig, og du motsetter seg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses.
- Vi ikke lenger trenger personopplysningene til formålet med behandlingen, men du har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Du kan også protestert mot behandling etter GDPR artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt våre berettigede interesser går foran ditt personvern.
Retten til dataportabilitet
For opplysninger som du har gitt til oss og er nødvendig for å gjennomføre en avtale med oss, og som behandles automatisk (dvs. ikke manuelt av oss) kan du be om å få personopplysningene om deg utlevert eller overført til annen leverandør i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet).
Automatisert behandling, herunder profilering
Det vil ikke bli foretatt automatisert behandling, herunder profilering, basert på dine personopplysninger som har rettsvirkninger eller som i betydelig grad påvirker de som personopplysninger gjelder. Se GDPR artikkel 22 nr. 1 og 4.
Klager
Opplever du at vår behandling av personopplysninger ikke er i overensstemmelse med det vi har beskrevet her eller at vi på andre måter bryter personvernlovgivningen, så kan du klage til Datatilsynet.
Du finner informasjon om dine rettigheter og hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.
Endringer
Hvis det skulle skje endring av våre tjenester eller endringer i regelverket om behandling av personopplysninger, kan det medføre forandring i informasjonen du er gitt her. Har vi dine kontaktopplysninger, vil vi gjøre deg oppmerksom på disse forandringene. Ellers vil oppdatert informasjon alltid finnes lett tilgjengelig på våre nettsider.