Databeskyttelse

Sist oppdatert:

1. Innledning til Databeskyttelse

Herbflexible tar databeskyttelse på alvor og er forpliktet til å beskytte personopplysningene til våre kunder, besøkende og forretningspartnere. Dette dokumentet beskriver våre databeskyttelsesprinsipper og praksis i samsvar med EUs generelle personvernforordning (GDPR) og norsk personopplysningslov.

Vi anerkjenner at personvern er en grunnleggende rettighet, og vi har implementert omfattende tiltak for å sikre at alle personopplysninger behandles lovlig, rettferdig og transparent.

2. Databeskyttelsesprinsippene

Vår databeskyttelsespraksis er basert på følgende prinsipper fra GDPR:

2.1 Lovlighet, Rettferdighet og Åpenhet

Vi behandler personopplysninger lovlig, rettferdig og på en transparent måte. Vi informerer alltid de registrerte om hvordan deres data behandles og sikrer at behandlingen har et lovlig grunnlag.

2.2 Formålsbegrensning

Personopplysninger samles inn for spesifikke, uttrykkelig angitte og legitime formål. Vi behandler ikke data på en måte som er uforenlig med disse formålene.

2.3 Dataminimering

Vi samler kun inn personopplysninger som er adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for.

2.4 Riktighet

Vi tar rimelige skritt for å sikre at personopplysninger er nøyaktige og oppdaterte. Unøyaktige data slettes eller rettes uten unødig opphold.

2.5 Lagringsbegrensning

Personopplysninger lagres kun så lenge det er nødvendig for formålene de ble samlet inn for, med mindre lengre lagring er påkrevd ved lov.

2.6 Integritet og Konfidensialitet

Vi behandler personopplysninger på en måte som sikrer passende sikkerhet, inkludert beskyttelse mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade.

2.7 Ansvarlighet

Vi er ansvarlige for og kan demonstrere overholdelse av alle databeskyttelsesprinsippene.

3. Rettslig Grunnlag for Behandling

Vi behandler personopplysninger kun når vi har et lovlig grunnlag. De rettslige grunnlagene vi benytter inkluderer:

3.1 Samtykke

I noen tilfeller behandler vi personopplysninger basert på ditt frie, spesifikke, informerte og utvetydige samtykke. Du har alltid rett til å trekke tilbake samtykket.

3.2 Kontraktsoppfyllelse

Vi behandler personopplysninger når det er nødvendig for å oppfylle en kontrakt med deg eller for å ta skritt på din forespørsel før inngåelse av kontrakt.

3.3 Juridiske Forpliktelser

Vi behandler personopplysninger når det er nødvendig for å overholde juridiske forpliktelser vi er underlagt.

3.4 Vitale Interesser

I sjeldne tilfeller kan vi behandle personopplysninger for å beskytte vitale interesser til deg eller en annen person.

3.5 Legitime Interesser

Vi kan behandle personopplysninger når det er nødvendig for våre legitime interesser eller tredjeparters legitime interesser, forutsatt at dine interesser og grunnleggende rettigheter ikke overstyrer disse interessene.

4. Sikkerhetstiltak

Vi har implementert omfattende tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger:

4.1 Tekniske Sikkerhetstiltak

• Kryptering av data under overføring og lagring
• Sikre autentiseringsmekanismer
• Brannmurer og inntrengninsdeteksjonssystemer
• Regelmessige sikkerhetskopier
• Oppdatert antivirusprogramvare
• Sikker datalagring med tilgangskontroller
• Regelmessige sikkerhetstester og sårbarhetsanalyser

4.2 Organisatoriske Sikkerhetstiltak

• Tilgangskontrollpolicyer som begrenser tilgang til personopplysninger
• Konfidensialitetsavtaler med ansatte og leverandører
• Regelmessig opplæring av ansatte i databeskyttelse
• Klare prosedyrer for håndtering av personopplysninger
• Incident response-planer for databrudd
• Regelmessige revisjoner av databeskyttelsespraksis
• Dokumentasjon av alle behandlingsaktiviteter

4.3 Fysiske Sikkerhetstiltak

• Sikret tilgang til lokaler hvor personopplysninger behandles
• Låste skap for fysiske dokumenter
• Sikker destruksjon av dokumenter som ikke lenger er nødvendige
• Overvåkning av fasiliteter

5. Databrudd og Varsling

5.1 Håndtering av Databrudd

Vi har etablert prosedyrer for å oppdage, rapportere og håndtere databrudd. Hvis et databrudd oppstår, vil vi:

• Umiddelbart iverksette tiltak for å begrense skaden
• Undersøke årsaken og omfanget av bruddet
• Dokumentere hendelsen
• Implementere tiltak for å forhindre fremtidige brudd

5.2 Varsling til Datatilsynet

Hvis et databrudd sannsynligvis vil medføre en risiko for enkeltpersoners rettigheter og friheter, vil vi varsle Datatilsynet uten unødig opphold og senest innen 72 timer etter at vi ble klar over bruddet.

5.3 Varsling til Registrerte

Hvis et databrudd sannsynligvis vil medføre en høy risiko for dine rettigheter og friheter, vil vi varsle deg uten unødig opphold. Varslingen vil inneholde:

• Beskrivelse av databruddets art
• Kontaktinformasjon til vår databeskyttelsesansvarlige
• Beskrivelse av sannsynlige konsekvenser
• Beskrivelse av tiltak vi har iverksatt eller foreslår

6. Dine Rettigheter

I henhold til GDPR har du følgende rettigheter angående dine personopplysninger:

6.1 Rett til Innsyn

Du har rett til å få bekreftelse på om vi behandler personopplysninger om deg, og i så fall få tilgang til disse opplysningene samt informasjon om behandlingen.

6.2 Rett til Retting

Du har rett til å få uriktige personopplysninger om deg rettet uten ugrunnet opphold. Du har også rett til å få ufullstendige personopplysninger komplettert.

6.3 Rett til Sletting

Du har rett til å få dine personopplysninger slettet uten ugrunnet opphold under visse omstendigheter, inkludert når:

• Opplysningene ikke lenger er nødvendige for formålet
• Du trekker tilbake samtykket behandlingen er basert på
• Du protesterer mot behandlingen og det ikke foreligger overordnede legitime grunner
• Personopplysningene er behandlet ulovlig
• Sletting er nødvendig for å oppfylle en juridisk forpliktelse

6.4 Rett til Begrensning av Behandling

Du har rett til å kreve at behandlingen av dine personopplysninger begrenses når:

• Du bestrider nøyaktigheten av personopplysningene
• Behandlingen er ulovlig, men du motsetter deg sletting
• Vi ikke lenger trenger personopplysningene, men du trenger dem for rettslige krav
• Du har protestert mot behandlingen i påvente av verifisering

6.5 Rett til Dataportabilitet

Du har rett til å motta personopplysninger om deg selv i et strukturert, alminnelig anvendt og maskinlesbart format, og å overføre disse til en annen behandlingsansvarlig.

6.6 Rett til Å Protestere

Du har rett til å protestere mot behandling av personopplysninger om deg som er basert på våre legitime interesser. Vi vil da opphøre med behandlingen med mindre vi kan påvise tvingende berettigede grunner.

6.7 Rett til Ikke Å Være Gjenstand for Automatiserte Avgjørelser

Du har rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, inkludert profilering, som har rettslige virkninger for deg eller på lignende måte i betydelig grad påvirker deg.

6.8 Rett til Å Klage

Du har rett til å klage til Datatilsynet hvis du mener at behandlingen av dine personopplysninger er i strid med personvernlovgivningen.

7. Utøvelse av Rettigheter

For å utøve dine rettigheter, kontakt oss via:

• E-post: serviceteam@herbflexible.world
• Telefon: +47 45 324 719
• Brev: Herbflexible, Alf Bjerckes vei 26, 0582 Oslo, Norway

Vi vil svare på din forespørsel uten ugrunnet opphold og senest innen en måned. Denne fristen kan forlenges med to måneder hvis forespørselen er kompleks eller vi mottar mange forespørsler.

Vi kan be om ytterligere informasjon for å bekrefte din identitet før vi behandler forespørselen.

8. Behandling av Barn

Våre tjenester er ikke rettet mot barn under 16 år. Vi samler ikke bevisst inn personopplysninger fra barn under 16 år uten foreldres samtykke.

Hvis vi oppdager at vi har samlet inn personopplysninger fra et barn under 16 år uten gyldig samtykke, vil vi slette disse opplysningene så snart som mulig.

Hvis du er forelder eller verge og oppdager at ditt barn har gitt oss personopplysninger, vennligst kontakt oss.

9. Internasjonale Overføringer

Hvis vi overfører personopplysninger til land utenfor EU/EØS, sikrer vi at det finnes passende sikkerhetstiltak på plass:

9.1 Overføringsmekanismer

• EUs standardkontraktsklausuler
• Bindende bedriftsinterne regler
• Sertifisering under anerkjente personvernrammer
• Godkjente adferdskoder

9.2 Vurdering av Tredjeland

Vi vurderer nøye sikkerhetsnivået i mottakerlandet og implementerer supplerende tiltak hvis nødvendig for å sikre et tilstrekkelig beskyttelsesnivå.

10. Databehandlere

Vi kan bruke tredjeparter (databehandlere) til å behandle personopplysninger på våre vegne. Når vi gjør dette:

• Inngår vi skriftlige databehandleravtaler
• Sikrer vi at databehandleren gir tilstrekkelige garantier
• Påser vi at databehandleren kun behandler data i henhold til våre instruksjoner
• Gjennomfører vi regelmessige revisjoner av databehandlere

11. Lagringsperioder

Vi lagrer personopplysninger kun så lenge det er nødvendig:

11.1 Kundedata

• Aktive kunder: Så lenge kundeforholdet varer
• Tidligere kunder: 3 år etter siste transaksjon
• Regnskapsdata: Minimum 5 år i henhold til bokføringsloven

11.2 Markedsføringsdata

• Med samtykke: Til samtykket trekkes tilbake eller etter 2 år uten aktivitet
• Legitime interesser: Vurderes årlig og slettes når ikke lenger relevant

11.3 Nettstedsdata

• Loggfiler: 90 dager
• Analysekapsler: 26 måneder
• Funksjonelle kapsler: 12 måneder

12. Personvernvurderinger

For behandlingsaktiviteter som sannsynligvis vil medføre høy risiko for enkeltpersoners rettigheter og friheter, gjennomfører vi personvernkonsekvensvurderinger (DPIA) før behandlingen påbegynnes.

Vurderingen inkluderer:

• Systematisk beskrivelse av behandlingen
• Vurdering av nødvendighet og proporsjonalitet
• Vurdering av risiko for registrertes rettigheter
• Tiltak for å håndtere risiko

13. Opplæring og Bevissthet

Vi sikrer at alle ansatte som behandler personopplysninger:

• Mottar regelmessig opplæring i databeskyttelse
• Er kjent med sine forpliktelser under GDPR
• Forstår viktigheten av databeskyttelse
• Vet hvordan de skal håndtere personopplysninger sikkert
• Kan identifisere og rapportere potensielle databrudd

14. Dokumentasjon og Etterlevelse

Vi opprettholder omfattende dokumentasjon av våre behandlingsaktiviteter, inkludert:

• Register over behandlingsaktiviteter
• Dokumentasjon av samtykker
• Databehandleravtaler
• Personvernkonsekvensvurderinger
• Dokumentasjon av databrudd
• Opplæringsregistre

15. Kontakt Databeskyttelsesansvarlig

For spørsmål om databeskyttelse eller for å utøve dine rettigheter, kontakt oss:

Herbflexible
Alf Bjerckes vei 26
0582 Oslo
Norway
E-post: serviceteam@herbflexible.world
Telefon: +47 45 324 719

16. Endringer i Databeskyttelsespraksis

Vi kan oppdatere denne databeskyttelsespolicyen fra tid til annen. Vesentlige endringer vil bli kommunisert til registrerte personer. Vi oppfordrer deg til å gjennomgå denne policyen regelmessig.