Personvernerklæring

Gjeldende for FAVER AS – 20.7.2018.

Vi vil kunne gjøre mindre endringer i denne personvernerklæringen. Du vil alltid finne siste versjon på vår nettside. Ved vesentlige endringer vil vi varsle om dette.

1. Behandlingsansvarlig

FaVer AS (FaVer) behandler personopplysninger i sin virksomhet innen taktisk/teknisk utredning og gransking.

Når FaVer utfører utrednings- og granskingsoppdrag på vegne av virksomhetskunder er vi som hovedregel databehandler og vår oppdragsgiver er behandlingsansvarlig, jf. EUs Forordning nr. 2016/679 (GDPR) artikkel 4 nr. 7 og 8. FaVer behandler da personopplysninger etter instruks fra den behandlingsansvarlige, og i samsvar med gjeldende databehandleravtale. Hvem som er behandlingsansvarlig skal fremkomme i korrespondansen med deg.

Når FaVer utfører oppdrag på vegne av en privat kunde er vi behandlingsansvarlig, jf. GDPR artikkel 4 nr. 7. Vi er også behandlingsansvarlig for behandling av personopplysninger i forbindelse med administrasjon av virksomhetskunder, samarbeidspartnere, markedsføring og interne medarbeidere/ansatte.

Kontaktopplysninger: FaVer AS, v/daglig leder Stein Naustdal, Postboks 1228 Vika, 0113 Oslo.

Organisasjonsnummer: 997 329 694.

2. Hvem vi behandler personopplysninger om

Denne personvernerklæringen retter seg mot vår behandling av personopplysninger om følgende personer:

• Private kunder
• Kontaktpersoner hos våre virksomhetskunder
• Kontaktpersoner hos våre leverandører og samarbeidspartnere
• Personer som er involvert i saker vi utreder
• Andre personer som er omtalt i saksdokumenter vi får tilgang til
• Besøkende på vår nettside og i våre kontorlokaler

3. Formål, typer personopplysninger og rettslig grunnlag

Nedenfor er det gitt en oversikt over hvilke formål vi behandler personopplysninger for, hvilke typer personopplysninger vi behandler, og det rettslige grunnlaget for behandlingen.

3.1 Etablering av kundeforhold

Vi behandler personopplysninger om private kunder i form av navn, postadresse, postnummer/sted, telefon/mobiltelefonnummer og e-postadresse. Rettslig grunnlag følger av GDPR artikkel 6 nr. 1 bokstav b (for å oppfylle avtale med kunde).

Ved oppdrag for virksomhetskunder er det nødvendig å behandle personopplysninger om kontaktpersoner hos kunden. Behandlingen gjelder opplysninger om navn på kontaktpersoner, telefon/mobiltelefonnummer og e-postadresse. Rettslig grunnlag følger av GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse).

3.2 Sakshåndtering og opplysninger om personer som er involvert i saken

I utredningsarbeidet vil vi behandle personopplysninger som er relevant for den sak og det saksforhold som skal utredes eller granskes. Dette vil typisk være opplysninger om faktiske forhold som er av betydning for å kunne vurdere og avgjøre den sak og det saksforhold som oppdragsgiver vil ha avklart. Hva slags personopplysninger som er relevante og nødvendige å behandle vil variere fra sak til sak, og vil være avhengig av sakstype.

Når FaVer utfører utrednings- og granskingsoppdrag på vegne av virksomhetskunder, for eksempel på vegne av et forsikringsselskap, behandler vi personopplysninger på vegne av forsikringsselskapet. Formålet med behandlingen og hvilke opplysninger som skal behandles er avhengig av oppdragsgivers (den behandlingsansvarliges) behandlingsgrunnlag og formål.

Enkelte oppdrag innebærer at vi får tilgang til personopplysninger om parter eller andre enkeltpersoner som berøres av den saken som skal utredes. Slike opplysninger kan fremkomme av dokumenter kunden oversender eller annen korrespondanse i saken. Det kan for eksempel gjelde personopplysninger om kravstillere, motparter, kontraktsparter, vitner, kontaktpersoner hos virksomhetskunde og andre personer med tilknytning til saksforholdet.

Behandling av personopplysninger som gjelder en privat kunde har rettslig grunnlag i GDPR artikkel 6 nr. 1 bokstav b (for å oppfylle avtale med kunde). Rettslig grunnlag for behandling av personopplysninger om andre enkeltpersoner som omfattes av utredningen følger GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse). Personer som eventuelt er omfattet av selve utredningen må som hovedregel avgi samtykke til at vi behandler deres personopplysninger, jf. GDPR artikkel 6 nr. 1 bokstav a.

For å kunne fastsette, gjøre gjeldende eller forsvare et rettskrav, vil det i noen saker være nødvendige å behandle særlig kategori personopplysninger, blant annet helseopplysninger, opplysninger om fagforeningsmedlemskap, straffbare forhold/lovovertredelser. Rettslig grunnlag for slik behandling følger av GDPR artikkel 9 nr. 2 bokstav f og personopplysningsloven § 11 (ny lov i 2018). Personer som eventuelt er omfattet av selve utredningen må som hovedregel avgi samtykke til at vi behandler deres personopplysninger, jf. GDPR artikkel 9 nr. 2 bokstav a.

3.3 Kundeadministrasjon

Saker som behandles for kunder blir registrert i vårt saksbehandlingssystem. Her lagres alle saksdokumenter og det registreres tidsforbruk og kostnader som er påløpt. Tidsforbruk og påløpte kostnader danner grunnlag for fakturering og avregning av vårt salær. Ved timeregistrering og fakturering vil det bli behandlet opplysninger som kan identifisere saken hos kunde, som for eksempel saksnummer, navn på saken og navn på kontaktperson hos virksomhetskunde.
Rettslig grunnlag for behandlingen følger av GDPR artikkel 6 nr. 1 bokstav b (for å oppfylle avtale med kunde). For virksomhetskunde følger det rettslige grunnlaget av GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse).

3.4 Lagring/oppbevaring av saksdokumenter

Alle saksdokumenter blir lagret/oppbevart sikkert og er underlagt streng tilgangskontroll. Saksdokumenter vil bli lagret i inntil to måneder etter at oppdraget er avsluttet.

Rettslig grunnlag for behandlingen følger av GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse), GDPR artikkel 9 nr. 2 bokstav f, eller GDPR artikkel 17 nr. 3 bokstav b (for å fastsette, gjøre gjeldende eller forsvare rettskrav), og personopplysningsloven § 11 (ny lov i 2018).

3.5 Avdekke og forebygge økonomisk kriminalitet

Det vil bli behandlet opplysninger som er nødvendige for å oppfylle krav gitt i medhold av hvitvaskingsloven § 4 (2) nr. 3, jf. §§ 17 og 18. Behandlingen omfatter som hovedregel opplysninger om kundens navn, fødselsnummer, adresse, referanse til legitimasjon, type legitimasjon.

Rettslig grunnlag for behandling følger av GDPR artikkel 6 nr. 1 bokstav c (oppfylle rettslig forpliktelse).

3.6 Besøkende i våre kontorlokaler

Ved besøk i våre kontorlokaler blir det registrert opplysninger om navn på den besøkende, dato for besøket, firmaet som den besøkende eventuelt representer, navn på den medarbeider hos oss som besøkes, klokkeslett for ankomst og klokkeslett for når den besøkende forlater lokalene. Opplysningene blir lagret i to måneder.

Behandlingen er nødvendig for å ha kontroll og oversikt over besøkende i firmaets lokaler, både av hensyn til den besøkende egen sikkerhet, og for å oppfylle krav til personopplysningssikkerhet jf. GDPR artikkel 32. Rettslig grunnlag for behandlingen følger av GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse) og GDPR artikkel 6 nr. 1 bokstav c (for å oppfylle en rettslig forpliktelse).

3.7 IT-drift og sikkerhet

Personopplysninger som er lagret i våre IT-systemer vil være tilgjengelige for våre leverandører i forbindelse med oppdateringer av systemer, implementering eller oppfølging av sikkerhetstiltak, feilretting eller annet vedlikehold. Rettslig grunnlag for behandlingen følger av GDPR artikkel 6 nr. 1 f (interesseavveining, jf. vår legitim interesse knyttet til nevnte aktiviteter) og vår rettslig forpliktelse til å ha tilfredsstillende informasjonssikkerhet, jf. GDPR artiklene 32 og 6 nr. 1 bokstav c (for å oppfylle en rettslig forpliktelse).

3.8 Kontaktpersoner hos våre leverandører og samarbeidspartnere

Vi behandler personopplysninger om kontaktpersoner hos våre leverandører og samarbeidspartnere. Behandlingen gjelder opplysninger om navn på kontaktpersoner, tittel/stilling, telefon/mobiltelefonnummer og e-postadresse. Behandlingen er nødvendig for å kunne følge opp avtaler og samarbeid med våre forbindelser.

Rettslig grunnlag følger GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse).

3.9 Markedsføring, kursvirksomhet og utsendelse av nyhetsbrev

Vi bruker vår hjemmeside Faver.no til markedsføring av firmaets tjenester.
Ved oppslag på hjemmesiden brukes informasjonskapsler. For publiseringsløsningen, FaVer session (er sesjons-avhengig, slettes når nettleseren lukkes). For å huske din aksept av bruk av informasjonskapsler: cookie notice_accepted (lagres i 1 år)

Rettslig grunnlag for behandlingen følger av GDPR artikkel 6 nr. 1 bokstav a (samtykke).

4. Hvem vi deler personopplysninger med

Vi bruker underleverandører for lagring, drift og vedlikehold av virksomhetens informasjons- og kommunikasjonsteknologi. Alle personopplysninger lagres eksternt hos vår IT-leverandør. Personopplysninger som er lagret i IT-systemene vil være tilgjengelige for våre leverandører i forbindelse med drift, oppdateringer av systemer, implementering eller oppfølging av sikkerhetstiltak, feilretting eller annet vedlikehold. Leverandørene opptrer i henhold til databehandleravtale og under vår instruks i samsvar med GDPR artikkel 28.

Alle medarbeidere i FaVer er underlagt streng taushetsplikt. Alle opplysninger som blir betrodd oss i forbindelse med et oppdrag blir håndtert konfidensielt. Vi utleverer ikke personopplysninger i andre tilfeller eller på andre måter enn dem som er beskrevet i denne personvernerklæringen med mindre kunden eksplisitt oppfordrer til, eller samtykker til dette, eller utleveringen er lovpålagt.

5. Hvor lang tid personopplysningene lagres

Personopplysninger som behandles hos oss vil bli lagret så lenge det er nødvendig for å oppfylle formålet med behandlingen. Opplysningene kan bli lagret lengre tid hvis dette er tillatt eller pålagt i lov.
Her er en oversikt over hvor lang tid vi lagrer personopplysninger:

• Kundeopplysninger og opplysninger om kontaktperson hos virksomhetskundeer blir lagret så lenge kundeforholdet varer, og i inntil 10 år etter at kundeforholdet er avsluttet.
• Saksdokumenter, personopplysninger ved sakshåndtering og personopplysninger om motpart og andre tredjepersoner blir lagret i inntil to måneder etter at oppdraget er avsluttet.
• Opplysninger som behandles for å avdekke og forebygge økonomisk kriminalitet bli lagret i fem år etter at kundeforholdet er avsluttet eller transaksjonen er gjennomført, med mindre lengre frister følger av lov eller forskrift. Dokumentene og opplysningene vil bli slettet innen ett år at oppbevaringsplikten opphørte.
• Opplysninger om besøkende i våre lokaler blir lagret i to måneder.
• Opplysninger om kontaktpersoner hos våre leverandører og samarbeidspartnere blir lagret så lenge det er nødvendig for avtaleforhold/samarbeidet, og i inntil 10 år etter opphør av avtale/samarbeid.
• Personopplysninger i forbindelse med markedsføring, se pkt. 3.9.

Regnskapslovgivning pålegger oss ellers å lagre bestemte regnskapsdokumenter i et nærmere angitt tidsrom. Når et bestemt formål tilsier lagring i et gitt tidsrom, sørger vi for at personopplysningene utelukkende blir benyttet for det aktuelle formålet i dette tidsrommet.

6. Dine rettigheter

Etter gjeldede personvernregler (GDPR kapittel 3) har du rettigheter som kan komme til anvendelse når det behandles personopplysninger om deg.

Dine rettigheter kan være begrenset av regler i GDPR, personopplysningsloven, andre lovbestemmelser, eller som følge av andre omstendigheter. Dersom du vil bruke dine rettigheter kan du ta kontakt med oss eller det finansforetaket/forsikringsselskapet som er vår oppdragsgiver.

6.1 Trekke tilbake et samtykke

Dersom behandlingen hos oss er basert på ditt samtykke, kan du til enhver tid trekke tilbake samtykket. Beslutningen om å trekke tilbake samtykket påvirker ikke lovligheten av den behandling som er utført før samtykket trekkes tilbake. Tilbakekall av et samtykke har heller ikke virkning for opplysninger som kan behandles i medhold av et annet rettslig grunnlag.

6.2 Innsyn og informasjon om behandlingen

Du kan be om å få informasjon om formålet med behandlingen, hvilken kategori personopplysninger som er registrert, hvem som har mottatt eller fått utlevert opplysningene, hvor lenge det forventes at opplysningene vil bli lagret, og informasjon om hvor opplysningene stammer fra dersom disse er innhentet fra andre. Du kan også be om å få kopi av de personopplysninger som behandles om deg.

For å sikre at personopplysninger utleveres til rett person, kan vi stille krav om at begjæring om innsyn skjer skriftlig eller at identitet verifiseres på annen måte.

Begrensninger i din rett til innsyn og informasjon følger av GDPR artikkel 14 nr. 5 og personopplysningslovens § 16. Retten gjelder blant annet ikke for opplysninger som det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger. Retten til innsyn og informasjon gjelder heller ikke for opplysninger som i lov eller i medhold av lov er underlagt taushetsplikt. Unntak fra informasjonsplikten gjelder også dersom det å gi informasjon er umulig eller vil innebære uforholdsmessig stor innsats.

6.3 Retting eller sletting

Du kan be oss om å rette feilaktige opplysninger vi har om deg, eller be oss om å slette personopplysninger.

Opplysningene kan ikke slettes dersom behandlingen er nødvendig for å oppfylle en avtale med deg som kunde, eller dersom behandlingen har et annet rettslig grunnlag.

6.4 Dataportabilitet

I noen tilfeller vil du kunne ha adgang til å få utlevert personopplysninger du har oppgitt til oss for å få disse overført i et maskinlesbart format. Dersom det er teknisk mulig vil det i enkelte tilfeller være adgang til å få disse overført direkte til det andre firmaet.

6.5 Protestere mot behandlingen

Du kan protestere mot behandlingen av personopplysninger der behandling skjer på grunnlag av samtykke, eller er basert på en interesseavveining jf. GDPR artikkel 6 nr. 1 bokstav f.

6.6 Klage til tilsynsmyndigheten

Dersom du mener at vi behandler dine personopplysninger i strid med gjeldende personvernregler eller at dine rettigheter etter personvernreglene blir krenket, kan du sende en skriftlig klage til Datatilsynet, Postboks 8177 Dep., 0152 Oslo. Datatilsynets vedtak kan påklages videre til Personvernnemda.

Vi har utpekt et personvernombud. Før du eventuelt klager til Datatilsynet kan du først sende en skriftlig henvendelse til vårt personvernombud. Se pkt. 8.

7. Sikkerhet

Vi har etablert prosedyrer for å håndtere personopplysninger på en sikker måte. Tiltakene er både av teknisk, og organisatorisk art. Vi foretar jevnlige vurderinger av sikkerheten i alle sentrale systemer som benyttes for håndtering av personopplysninger, og det er inngått avtaler som pålegger leverandører av slike systemer å sørge for tilfredsstillende informasjonssikkerhet.

Tilgang til personopplysninger (og kunde-/saksinformasjon) er begrenset til personell som har behov for tilgang for å utføre sine oppgaver.

Vi har vedtatt interne IT-retningslinjer, og vi foretar jevnlig opplæring av ansatte med hensyn til sikkerhet og bruk av IT-systemer.

8. Personvernombud

Vi har oppnevnt advokat Erik Fjeldstad som personvernombud. Du kan ta kontakt med ham angående spørsmål om behandling av dine personopplysninger hos oss. Ombudet kan også svare på spørsmål om dine personvernrettigheter etter gjeldende personvernregler.

Kontaktopplysninger til vårt personvernombud:
Partner/advokat Erik Fjeldstad, Advokatfirma Kogstad Lunde & Co DA, Postboks 1360 Vika,
0113 Oslo. E-post: ef@klco.no