PrivacyPolicy

PERSONVERNERKLÆRING FOR NETTBUTIKKEN AS KUNDEREGISTER

1 Registeransvarlig

Registeransvarlig for registeret er NETTBUTIKKEN AS (org.nr. xxxxxx)

Kontaktperson for saker angående registeret er: [legg inn kontaktpersonens navn og stilling/tittel]

NETTBUTIKKEN AS

Adresse:  [...]
Telefon: […]
E-post: […]

2 Registerets navn

Registerets navn er NETTBUTIKKEN AS kunderegister.

3 Formålet med behandlingen av personopplysningene

Formålet med behandlingen av personopplysningene er behandling, administrering og utvikling av kundeforhold, tilbud og levering av tjenester samt utvikling og fakturering av tjenester. Personopplysningene blir også brukt i forbindelse med oppklaringer av reklamasjoner og andre krav.

I tillegg blir personopplysningene brukt til kommunikasjon med kundene, som for eksempel informerings- og nyhetsformål samt markedsføring, hvor en del av personopplysningene også brukes til formål knyttet til direkte og elektronisk markedsføring  

Kundene har rett til å forby direkte markedsføring rettet mot dem selv.

Registeransvarlig behandler opplysningene selv og benytter også underleverandører som opptrer på registeransvarliges vegne ved bruk av personopplysningene.

4 Juridisk grunnlag for bruk

Det juridisk grunnlaget for bruk av personopplysningene er følgende punkter i EUs generelle personvernforordning (heretter også ”GDPR”):

1. den registrerte har gitt tillatelse til å bruke personopplysningene til ett eller flere bestemte formål (GDPR art. 6, 1. a);
2. bruken er nødvendig for å kunne oppfylle en avtale som den registrerte er en part av, eller for å kunne utføre forberedende tiltak for inngåelsen av en avtale etter den registrertes anmodning (GDPR art. 6, 1. b);
3. bruken er nødvendig for å kunne oppfylle registeransvarliges eller en tredje parts rettigheter (GDPR art. 6, 1. f).

Den ovennevnte registeransvarliges rett er basert på et betydningsfullt og saklig forhold mellom den registrerte personen og registeransvarlig, som er en følge av at den registrerte er registeransvarliges kunde, og bruken skjer til formål som den registrerte med rimelighet har kunnet forvente på tidspunktet for innsamlingen av personopplysningene og i forbindelse med et saklig kundeforhold.

5 Registerets innhold (gruppene av personopplysninger som brukes)

Registeret inneholder i utgangspunktet følgende personopplysninger om alle de registrerte personene:

1. personens basisopplysninger og kontaktopplysninger: [fornavn, etternavn, adresse, telefonnummer, e-postadresse];
2. opplysninger knyttet til personens bedrift eller annen organisasjon samt personens stilling eller oppgavetittel i bedriften eller organisasjonen;
3. personens tillatelser og forbud som gjelder direkte markedsføring.

6 Informasjonskilder i samsvar med reglene

Personopplysningene samles inn fra den registrerte personen selv.

Personopplysningene blir også samlet inn og oppdatert innenfor lovreguleringenes rammer fra offentlig tilgjengelige kilder, som er knyttet til gjennomføringen av kundeforholdet mellom registeransvarlig og den registrerte personen, og som registeransvarlig benytter for å oppfylle sine forpliktelser knyttet til vedlikeholdet av kundeforholdene.

7 Oppbevaringstiden for personopplysningene

Opplysningene som er samlet i registeret, blir bare oppbevart så lenge og i den omfatningen det er nødvendig i henhold til de opprinnelige eller tilsvarende formålene som personopplysningene er samlet inn for.

Behovet for oppbevaringen av personopplysningene blir vurdert [beskriv her hvor ofte behovet for oppbevaringen av opplysningene blir vurdert, f.eks. hvert femte år e.l.]; og i alle tilfeller blir opplysningene som gjelder en registrert person, slettet fra registeret [hvor mange år] etter at den registrerte personens kundeforhold til registeransvarlig er avsluttet, og forpliktelsene og tiltakene knyttet til kundeforholdet er oppfylt. Regnskapsbilag oppbevares for eksempel i seks år etter regnskapsårets slutt.

Registeransvarlig vurderer behovet for oppbevaring av opplysningene regelmessig etter sine egne interne rutineregler. I tillegg gjennomfører registeransvarlig alle eventuelle tiltak innenfor rimelighetens grenser for å sikre at alle unøyaktige, gale eller foreldede personopplysninger med hensyn til formålene fjernes eller korrigeres umiddelbart.

8 Personopplysningenes mottakere (mottakergrupper) samt overføring av opplysningene i samsvar med reglene

Personopplysningene blir ikke gitt videre til utenforstående.

9 Overføring av opplysninger utenfor EU eller EØS

Personopplysningene i registeret blir ikke gitt videre utenfor EU eller EØS.

10 Prinsippene for vern av registeret

Dokumenter som inneholder personopplysninger, oppbevares i låste rom som kun bestemte personer og personer med fullmakt basert på sin oppgave har tilgang til.

Databaser med personopplysningene ligger på servere som oppbevares i låste rom, som kun bestemte personer og personer med fullmakt på grunn av sin oppgave har tilgang til. Serverne er forsvarlig beskyttet med brannmur og teknisk beskyttelse.

Man kan bare komme inn i databasene og systemene med personlige brukernavn og passord som er mottatt spesifikt. Registeransvarlig har begrenset brukerrettigheter og -fullmakter til datasystemer og andre lagringsplattformer, slik at bare personer som trenger det for å kunne utføre lovmessig behandling, kan gå inn og se på og bruke opplysningene. I tillegg blir databasenes og systemenes brukerhendelser registrert i registeransvarliges loggdata for IT-systemet.

Registeransvarliges ansatte og andre personer forplikter seg til å overholde taushetsplikten samt til å hemmeligholde opplysningene de får i forbindelse med bruk av personopplysningene.

11 Den registrertes rettigheter

Den registrerte har følgende rettigheter i samsvar med EUs generelle personvernforskrift:

1. rett til å få en bekreftelse fra registeransvarlige på om personopplysningene blir brukt eller ikke. Dersom personopplysningene blir brukt, har den registrerte rett til å få tilgang til personopplysningene og følgende opplysninger: (I) formålene med bruken; (II) personopplysningsgruppene det gjelder; (III) mottakere eller mottakergrupper som personopplysningene er sendt til eller det er meningen å sende dem til; (IV) planlagt oppbevaringstid for personopplysningene så langt dette er mulig, og dersom dette ikke er mulig, bestemmelseskriteriene for denne tiden; (V) den registrertes rett til å be registeransvarlig om å korrigere eller slette egne personopplysninger eller til å begrense eller sette seg mot bruken av personopplysningene; (VI) rett til å sende en klage til tilsynsmyndighetene; (VII) dersom personopplysningene ikke samles inn fra den registrerte, har man rett til tilgang til alle tilgjengelige opplysninger om kildene til personopplysningene (GDPR art. 15). Disse beskrevne grunnleggende opplysningene (I)–(VII) blir gitt til registrerte personer på dette skjemaet;
2. rett til å trekke tilbake en tillatelse når som helst uten at dette skal påvirke lovligheten av bruken som tidligere er utført på grunnlag av tillatelsen (GDPR art. 7);
3. rett til å kreve at registeransvarlig korrigerer unøyaktige eller gale personopplysninger uten unødig opphold, samt rett til å få utfylt mangelfulle personopplysninger, blant annet ved å gi en tilleggsforklaring med hensyn til formålene for bruken av opplysningene (GDPR art. 16);
4. rett til å få registeransvarlige til å fjerne personopplysningene som gjelder den registrerte uten unødig opphold, med den forutsetning at (I) man ikke trenger personopplysningene til de formålene de er samlet inn til eller de ellers er brukt til; (II) den registrerte trekker tilbake tillatelsen som bruken er basert på, og man ikke har noe annet juridisk grunnlag for bruken; (III) den registrerte setter seg imot bruken på grunnlag av en egen spesiell personlig situasjon og man ikke har noen gyldig grunn til bruken, eller den registrerte setter seg imot bruken til direkte markedsføringsformål; (IV) personopplysningene er brukt på en ulovlig måte; eller (V) personopplysningene må fjernes for å oppfylle de juridiske forpliktelsene etter unionsretten eller de nasjonale lovene for registeransvarlige (GDPR art. 17);
5. rett til at registeransvarlige begrenser bruken, dersom (I) den registrerte påstår at personopplysningene ikke er riktige. Bruken begrenses da i en tid hvor registeransvarlige kan kontrollere om opplysningene stemmer; (II) bruken strider mot loven og den registrerte setter seg imot sletting av personopplysningene og krever at man i stedet begrenser bruken av dem; (III) registeransvarlig ikke trenger opplysningene lengre til formålet for bruken av dem, men den registrerte trenger dem som bevis eller forsvar knyttet til et juridisk krav; eller (IV) den registrerte har satt seg imot bruken av personopplysningene på grunnlag av en spesiell personlig situasjon mens han venter på en bekreftelse på om registeransvarliges juridiske grunnlag setter den registertes begrunnelser til side (GDPR art. 18);
6. rett til å få personopplysningene som gjelder dem og som de registrerte har levert til registeransvarlige, i en tydelig, vanlig og elektronisk lesbar form, og rett til å overføre opplysningene til en annen registeransvarlig uten at den registeransvarlige som man har levert personopplysningene til, hindrer dette, dersom bruken er basert på en tillatelse i samsvar med forordningen og utføres automatisk (GDPR art. 20);
7. rett til å gi en klage til tilsynsmyndighetene dersom den registrerte anser at man i bruken av personopplysningene som gjelder ham, bryter EUs generelle personvernforordning (GDPR art. 77).

Anmodninger som gjelder oppfyllelsen av den registrertes rettigheter henvises til registeransvarliges kontaktperson som er nevnt i punkt 1.