Personvernerklæring
Gjeldende for Kvamme Associates AS (org.nr. 924645474)
1. Behandlingsansvarlig
Kvamme Associates AS (Kvamme Associates) behandler personopplysninger i sin virksomhet innen rådgivning og gransking. Selskapet har i hovedsak bedriftskunder.
Behandlingsansvarlig for de personopplysningene vi behandler er: Helge Kvamme, styreleder. I det daglige er behandlingsansvaret delegert til Roar Østby.
Når Kvamme Associates utfører granskingsoppdrag/fact finding på vegne av bedriftskunder, er selskapet som hovedregel databehandler og vår oppdragsgiver er behandlingsansvarlig, jf. EUs Forordning nr. 2016/679 (GDPR) artikkel 4 nr. 7 og 8. Kvamme Associates behandler da personopplysninger etter instruks fra den behandlingsansvarlige, og i samsvar med databehandleravtale med oppdragsgiver.
Når Kvamme Associates i tillegg gir en vurdering av funnene som er gjort, vil selskapet være behandlingsansvarlig.
2. Hvem vi behandler personopplysninger om
Denne personvernerklæringen retter seg mot selskapets behandling av personopplysninger som i hovedsak vil være opplysninger fra oppdragsgiver, om følgende personer:
Navn på kunder og ansatte i rapporter utarbeidet av Kvamme Associates
Kontaktpersoner hos virksomhetskunder
Kontaktpersoner hos leverandører og samarbeidspartnere
Besøkende på vår nettside og i våre kontorlokaler
3. Formål, typer personopplysninger og rettslig grunnlag
Nedenfor er det gitt en oversikt over hvilke formål vi behandler personopplysninger for, hvilke typer personopplysninger vi behandler, og det rettslige grunnlaget for behandlingen.
3.1 Etablering av kundeforhold
Vi behandler personopplysninger om besøkende, kunder og leverandører i form av personnavn, bedriftsnavn, navn på kontaktperson, postadresse, postnummer/sted, telefon/mobiltelefonnummer og e-postadresse. Rettslig grunnlag følger av GDPR artikkel 6 nr. 1 bokstav b (for å oppfylle avtale med kunde), og GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse).
3.2 Sakshåndtering og opplysninger om personer som er involvert i granskingssaker
I granskingsarbeidet/fact finding vil vi som databehandler behandle personopplysninger som er relevante for den sak og det saksforhold som skal granskes. Dette vil typisk være opplysninger om faktiske forhold som er av betydning for å kunne vurdere og avgjøre den sak og det saksforhold som oppdragsgiver vil ha avklart. Hva slags personopplysninger som er relevante og nødvendige å behandle vil variere fra sak til sak, og vil være avhengig av sakstype.
Når Kvamme Associates utfører granskingsoppdrag/fact finding på vegne av bedriftskunder, behandler vi personopplysninger på vegne av virksomheten. Formålet med behandlingen og hvilke opplysninger som skal behandles, er avhengig av oppdragsgivers (den behandlingsansvarlige) behandlingsgrunnlag og formål. Elektroniske sakregistre vil etableres hos oppdragsgiver eller hos det advokatkontor eller annet selskap som eventuelt er engasjert av oppdragsgiver i saken.
Enkelte oppdrag innebærer at Kvamme Associates får tilgang til personopplysninger om parter eller andre enkeltpersoner som berøres av den saken som skal granskes. Slike opplysninger kan fremkomme av dokumenter oppdragsgiver oversender eller annen korrespondanse i saken. Det kan for eksempel gjelde personopplysninger om berørte personer, kontraktsparter, vitner, kontaktpersoner hos oppdragsgiver og andre personer med tilknytning til saksforholdet. Ved henvendelser om vår behandling av personopplysninger i granskningsoppdrag vil vi henvise til oppdragsgiver som vil være behandlingsansvarlig.
3.3 Kundeadministrasjon
Saker som behandles for kunder blir registrert i vårt saksbehandlingssystem. Her lagres alle saksdokumenter og det registreres tidsforbruk og kostnader som er påløpt. Tidsforbruk og påløpte kostnader danner grunnlag for fakturering og avregning av vårt salær. Ved timeregistrering og fakturering vil det bli behandlet opplysninger som kan identifisere saken hos kunde, som for eksempel saksnummer, navn på saken og navn på kontaktperson hos bedriftskunden. Rettslig grunnlag for behandlingen av personopplysninger ved kundeadministrasjon følger av GDPR artikkel 6 nr. 1 bokstav b (for å oppfylle avtale med kunde), og av GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse).
3.4 Lagring/oppbevaring av saksdokumenter
Alle saksdokumenter blir lagret/oppbevart sikkert og er underlagt streng tilgangskontroll. Hovedregelen er at lagringen skjer hos oppdragsgiver eller hos advokatfirma engasjert av oppdragsgiver. Eventuelle saksdokumenter vi har mottatt vil bli lagret i inntil ti år elektronisk etter at oppdraget er avsluttet. Se eller pkt. 5.
Rettslig grunnlag for behandlingen følger av GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse), GDPR artikkel 9 nr. 2 bokstav f eller GDPR artikkel 17 nr. 3 bokstav b (for å fastsette, gjøre gjeldende eller forsvare rettskrav), og personopplysningsloven § 11 (ny lov i 2018).
3.5 IT-drift og sikkerhet
Personopplysninger som er lagret i våre IT-systemer, vil være tilgjengelige for våre leverandører i forbindelse med oppdateringer av systemer, implementering eller oppfølging av sikkerhetstiltak, feilretting eller annet vedlikehold. Rettslig grunnlag for behandlingen følger av GDPR artikkel 6 nr. 1 f (interesseavveining, jf. vår berettigede interesse knyttet til nevnte aktiviteter) og vår rettslig forpliktelse til å ha tilfredsstillende informasjonssikkerhet, jf. GDPR artiklene 32 og 6 nr. 1 bokstav c (for å oppfylle en rettslig forpliktelse).
3.6 Kontaktpersoner hos våre leverandører og samarbeidspartnere
Vi behandler personopplysninger om kontaktpersoner hos våre leverandører og samarbeidspartnere. Behandlingen gjelder opplysninger om navn på kontaktpersoner, tittel/stilling, telefon/mobiltelefonnummer og e-postadresse. Behandlingen er nødvendig for å kunne følge opp avtaler og samarbeid med våre forbindelser.
Rettslig grunnlag følger GDPR artikkel 6 nr. 1 bokstav b (for å oppfylle avtale med kunde) og GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse).
3.7 Markedsføring, kursvirksomhet og utsendelse av nyhetsbrev
Vi bruker vår hjemmeside www.kvammeassociates.com til markedsføring av firmaets tjenester. Besøkende kan abonnere på vårt nyhetsbrev og rettslig grunnlag for vår behandling av personopplysninger i den sammenheng følger av GDPR artikkel 6 nr. 1 bokstav a (samtykke) og markedsføringsloven § 15.
4. Hvem vi deler personopplysninger med
Vi bruker underleverandører for lagring, drift og vedlikehold av virksomhetens informasjons- og kommunikasjonsteknologi. Alle personopplysninger lagres eksternt hos vår IT-leverandør. Personopplysninger som er lagret i IT-systemene, vil være tilgjengelige for våre leverandører i forbindelse med drift, oppdateringer av systemer, implementering eller oppfølging av sikkerhetstiltak, feilretting eller annet vedlikehold. Leverandørene opptrer i henhold til databehandleravtale og under vår instruks i samsvar med GDPR artikkel 28.
Alle medarbeidere i Kvamme Associates er underlagt streng taushetsplikt. Alle opplysninger som blir betrodd oss i forbindelse med et oppdrag blir håndtert konfidensielt. Vi utleverer ikke personopplysninger i andre tilfeller eller på andre måter enn dem som er beskrevet i denne personvernerklæringen med mindre kunden eksplisitt oppfordrer til, eller samtykker til dette, eller utleveringen er lovpålagt.
5. Hvor lang tid personopplysningene lagres
Personopplysninger som behandles hos oss vil bli lagret så lenge det er nødvendig for å oppfylle formålet med behandlingen. Opplysningene kan bli lagret i lengre tid hvis dette er tillatt eller pålagt i lov.
Her er en oversikt over hvor lang tid vi lagrer personopplysninger:
Kundeopplysninger og opplysninger om kontaktperson hos bedriftskunder blir lagret så lenge kundeforholdet varer, og i inntil 15 år etter at kundeforholdet er avsluttet. Saksdokumenter, personopplysninger ved sakshåndtering og personopplysninger i granskingssaker og andre tredjepersoner blir lagret i inntil 15 år etter at oppdraget er avsluttet.
Opplysninger om kontaktpersoner hos våre leverandører og samarbeidspartnere blir lagret så lenge det er nødvendig for avtaleforhold/samarbeidet, og i inntil 15 år etter opphør av avtale/samarbeid.
Regnskapslovgivning pålegger oss ellers å lagre bestemte regnskapsdokumenter i 5 år etter utløp av det regnskapsåret opplysningene ble samlet inn. Når et bestemt formål tilsier lagring i et gitt tidsrom, sørger vi for at personopplysningene utelukkende blir benyttet for det aktuelle formålet i dette tidsrommet.
6. Dine rettigheter
Etter gjeldede personvernregler (GDPR kapittel 3) har du rettigheter som kan komme til anvendelse når det behandles personopplysninger om deg. Dine rettigheter kan være begrenset av regler i GDPR, personopplysningsloven, andre lovbestemmelser, eller som følge av andre omstendigheter. Dersom du vil bruke dine rettigheter kan du ta kontakt med oss eller vår oppdragsgiver.
6.1 Trekke tilbake et samtykke
Dersom behandlingen hos oss er basert på ditt samtykke, kan du til enhver tid trekke tilbake samtykket. Beslutningen om å trekke tilbake samtykket påvirker ikke lovligheten av den behandling som er utført før samtykket trekkes tilbake. Tilbakekall av et samtykke har heller ikke virkning for opplysninger som kan behandles i medhold av et annet rettslig grunnlag.
6.2 Innsyn og informasjon om behandlingen
Du kan be om å få informasjon om formålet med behandlingen, hvilken kategori personopplysninger som er registrert, hvem som har mottatt eller fått utlevert opplysningene, hvor lenge det forventes at opplysningene vil bli lagret, og informasjon om hvor opplysningene stammer fra dersom disse er innhentet fra andre. Du kan også be om å få kopi av de personopplysninger som behandles om deg. For å sikre at personopplysninger utleveres til rett person, kan vi stille krav om at begjæring om innsyn skjer skriftlig eller at identitet verifiseres på annen måte.
Begrensninger i din rett til innsyn og informasjon følger av GDPR artikkel 14 nr. 5 og personopplysningslovens § 16. Retten gjelder blant annet ikke for opplysninger som det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger. Retten til innsyn og informasjon gjelder heller ikke for opplysninger som i lov eller i medhold av lov er underlagt taushetsplikt. Unntak fra informasjonsplikten gjelder også dersom det å gi informasjon er umulig eller vil innebære uforholdsmessig stor innsats.
6.3 Retting eller sletting
Du kan be oss om å rette feilaktige opplysninger vi har om deg eller be oss om å slette personopplysninger. Opplysningene kan ikke slettes dersom behandlingen er nødvendig for å oppfylle en avtale med deg som kunde, eller dersom behandlingen har et annet rettslig grunnlag.
6.4 Protestere mot behandlingen
Du kan protestere mot behandlingen av personopplysninger der behandling skjer på grunnlag av samtykke eller er basert på en interesseavveining jf. GDPR artikkel 6 nr. 1 bokstav f.
6.5 Klage til tilsynsmyndigheten
Dersom du mener at vi behandler dine personopplysninger i strid med gjeldende personvernregler eller at dine rettigheter etter personvernreglene blir krenket, kan du sende en skriftlig klage til Datatilsynet, Postboks 8177 Dep., 0152 Oslo. Datatilsynets vedtak kan påklages videre til Personvernnemda.
Vi har utpekt et personvernombud. Før du eventuelt klager til Datatilsynet kan du først sende en skriftlig henvendelse til vårt personvernombud. Se pkt. 8.
7. Sikkerhet
Vi har etablert prosedyrer for å håndtere personopplysninger på en sikker måte. Tiltakene er både av teknisk, og organisatorisk art. Vi foretar jevnlige vurderinger av sikkerheten i alle sentrale systemer som benyttes for håndtering av personopplysninger, og det er inngått avtaler som pålegger leverandører av slike systemer å sørge for tilfredsstillende informasjonssikkerhet. Tilgang til personopplysninger (og kunde-/saksinformasjon) er begrenset til personell som har behov for tilgang for å utføre sine oppgaver.
8. Personvernombud
Vi har oppnevnt Roar Østby som personvernombud. Du kan ta kontakt med vedkommende angående spørsmål om behandling av dine personopplysninger hos oss. Ombudet kan også svare på spørsmål om dine personvernrettigheter etter gjeldende personvernregler.
Henvendelser rettes til roostby@kvammeassociates.com eller skriftlig til Kvamme Associates AS ved Roar Østby, Frøyas gate 13, 0273 Oslo.
Vi vil kunne gjøre endringer i denne personvernerklæringen. Du vil alltid finne siste versjon her på vår nettside.