Personvernerklæring

1. Innledning

Denne nettsiden er en felles nettside for AML app AS, Compliance Support AS og driftes av Compliance advisor – Erling Grimstad AS.

I samsvar med personopplysningsloven skal fysiske personers rettigheter, friheter og personverninteresser beskyttes. Med personopplysninger menes enhver opplysning eller vurdering som kan knyttes – enten direkte eller indirekte – til en fysisk person.

Vi er «behandlingsansvarlig» for personopplysninger som behandles om fysiske personer av oss («den registrerte»). I dette dokumentet redegjør vi for hvilke personopplysninger vi behandler om registrerte personer, hvordan vi behandler slike opplysninger, hvorfor det er nødvendig for oss å behandle personopplysningene, samt hva som er grunnlaget for behandlingen.

Personvernerklæringen redegjør også for hvilke kilder personopplysningene stammer fra, hvor lenge vi behandler personopplysningene og om vi benytter leverandører («databehandlere») i forbindelse med behandlingen.

2. Overordnet om behandling av personopplysninger

Vi beskytter personvernet til våre oppdragsgivere og ved behandling av personopplysninger for andre registrerte personer. Vi forplikter oss til å behandle alle personopplysninger på en lovlig, rettferdig og åpen måte. Vi vil kun samle inn personopplysninger for spesifikke, uttrykkelig og berettigede formål, og vi vil ikke viderebehandle personopplysningene på en måte som er uforenlig med disse formålene. Derfor behandler vi kun personopplysninger om registrerte i de tilfellene der det er et lovlig behandlingsgrunnlag, dvs. når det er nødvendig for å oppfylle en avtale, dersom vi er lovpålagt å behandle slike opplysninger, dersom den registrerte har samtykket til behandlingen, dersom vi har en annen berettiget interesse eller dersom behandlingen skjer i tråd med rettspleielovene.

Alle personopplysninger om registrerte skal være adekvate, relevante og begrenset til det som er nødvendig for å oppnå formålet med behandlingsaktiviteten. Dersom vi oppdager opplysninger som ikke er korrekte, skal disse oppdateres eller slettes. Vi skal ikke lagre eller behandle personopplysninger lenger enn det som er nødvendig for å oppnå formålet med behandlingen, så fremt annet ikke fremkommer av lov.

Vi forsikrer deg om at vi tar informasjonssikkerhet på alvor, og at vi vil beskytte dine personopplysninger mot uautorisert innsyn (konfidensialitet) og endringer (integritet). Kun personer hos oss med et tjenstlig behov har tilgang til personopplysninger om deg som registrert. Vi er ansvarlig for å sørge for at systemene vi benytter er robuste og pålitelige, slik at vi har tilgang til opplysningene vi trenger (tilgjengelighet).

3. Bruk av tredjeparter (databehandlere) og utlevering av personopplysninger

Vi benytter oss av ulike system- og tjenesteleverandører i forbindelse med leveranser til våre oppdragsgivere og til internt bruk i vår virksomhet. Dette omfatter også leverandører av driftssystemer der personopplysninger mottas, oppbevares (lagres), arkiveres eller på annen måte behandles. I slike tilfeller opptrer leverandøren som databehandler på vegne av virksomheten, og vi har inngått en skriftlig avtale (databehandleravtale) som regulerer hvordan leverandøren skal behandle personopplysningene. Alle databehandlere har forpliktet seg til kun å behandle personopplysninger i henhold til instruks fra oss, samt etablere tilfredsstillende informasjonssikkerhet for å beskytte personopplysningene.

Vi utleverer ikke personopplysninger eller annen informasjon til andre enn vår oppdragsgiver, det vil si personen eller selskapet som vi gjennomfører oppdraget på vegne av. Unntak fra taushetsplikten kan være at vi er lovpålagt å utlevere personopplysninger og annen informasjon, eller dersom vår oppdragsgiver eksplisitt har instruert oss om å utlevere opplysninger til en annen.

4. Geografisk lagring og behandling

Vi mottar, oppbevarer (lagrer), arkiverer og behandler personopplysninger i våre interne systemer. Personopplysninger og annen informasjon i disse systemene lagres på dataservere som befinner seg innenfor EØS-området. Vi benytter ikke interne systemer som lagrer personopplysninger utenfor EØS-området.

Dersom vi gjør oppdrag for oppdragsgiver utenfor EØS-området, kan personopplysninger og annen informasjon likevel overføres til land utenfor EØS-området («tredjeland»). I så fall skjer dette enten til land som EU kommisjonen har besluttet at har tilstrekkelig beskyttelsesnivå eller ved bruk av EUs standardavtale (Standard Contractual Clauses). Gjennom disse overføringsmekanismene sikres det at fysiske personers rettigheter, friheter og personverninteresser ivaretas på en tilfredsstillende måte.

5. Behandlingsaktiviteter

Kundeopplysninger

Forut for etablering av kundeforhold med en oppdragsgiver innhentes kontaktinformasjon til fysiske personer hos oppdragsgiveren. Formålet med behandlingen av personopplysningene er nødvendig for å inngå avtale med oppdragsgiver eller utføre slike oppgaver som det er inngått avtale om. Vi behandler navn, e-post, telefonnummer, eventuelt stillingsbetegnelse til kontaktpersoner hos virksomheten som det skal inngås avtale med, postadresse, og informasjon som er nødvendig for fakturering av utført arbeid.

Rettslig grunnlag for behandlingen av personopplysninger for eventuelle privatpersoner vi inngår avtale med, er GDPR artikkel 6 bokstav b (nødvendig for å inngå avtale). For virksomheter som vi utfører oppdrag for, bygger registreringen av kontaktopplysninger for fysiske personer på en interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f. Opplysninger om fysiske personer hos våre oppdragsgivere lagres på egen kundemappe for den enkelte oppdragsgiveren.

Tid, utlegg og andre kostnader som er påløpt i forbindelse med utføring av oppdrag for en oppdragsgiver, registreres i vårt regnskapssystem. For virksomhetskunder er behandlingen av personopplysninger i forbindelse med vår administrasjon, hjemlet i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining), mens det for eventuelle privatkunder anses som en nødvendig del av det å oppfylle avtalen med vedkommende, jf. GDPR artikkel 6 nr. 1 bokstav b.

Kontaktopplysninger, kontoopplysninger og eventuell kredittsjekk av private oppdragsgivere, og kontaktopplysninger til ansatte hos virksomheter som oppdragsgivers representant, benyttes for å sende faktura fra oss. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 bokstav b (nødvendig for å oppfylle avtale med den registrerte) for privatkunder, og GDPR artikkel 6 nr. 1 bokstav f (interesseavveining) for virksomhetskunder.

Sakshåndtering og lagring av saksdokumenter

Enkelte oppdrag eller avtaler om bruk av tjenester vi tilbyr, innebærer at vi får tilgang til personopplysninger om fysiske personer. Slike opplysninger kan fremgå av dokumenter oppdragsgiver oversender eller gjør tilgjengelig for oss, av opplysninger vi innhenter som ledd i utføring av oppdraget eller tjenesten vi tilbyr oppdragsgiver etter avtale. Behandlingen (håndtering og lagring) av personopplysninger i forbindelse med oppdrag for virksomhetskunder er forankret i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining).

I enkelte oppdrag kan det hende at vi også får tilgang til personopplysninger i særlige kategorier, for eksempel helseopplysninger, straffedommer eller lignende. I slike tilfeller har behandlingen av opplysningene hjemmel i GDPR artikkel 9 nr. 2 bokstav f (nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav), jf. personopplysningsloven § 11, eller GDPR artikkel 9 nr. 2 bokstav b (nødvendig for behandling på arbeids-, trygde-, og sosialrettens område), jf. personopplysningsloven §§ 6 og 11.

Saksdokumentasjon i oppdrag vi utfører for våre oppdragsgivere overføres til vårt arkiv etter at saken er avsluttet. Et oppdrag avsluttes når oppdraget er avsluttet etter avtale med vår oppdragsgiver. Saken slettes fra arkivet i samsvar med lovpålagte krav. Lagringstiden for enkelte dokumenter kan fastsettes med bakgrunn i vårt behov for arkivering av informasjon i saken, f.eks. for at vårt foretak skal kunne forsvare rettskrav ved eventuell tvist knyttet til utføring av oppdrag for oppdragsgiver. Saksdokumenter vi arkiverer kan ha betydning for oppdragsgiver i ettertid enten ved utføring av andre oppdrag for oppdragsgiver eller andre formål som oppdragsgiver bestemmer.

Referater fra intervjuer/samtaler i granskingsoppdrag, undersøkelser, varslingssaker og eventuelle saksdokumenter som er innhentet i slike oppdrag arkiveres i saksmappe i vårt arkiv og slettes i samsvar med lovpålagte krav.

Seminarer og kurs

Det er mulig å abonnere på seminarinvitasjoner fra oss. Ved påmelding til seminarer behandler vi kun de opplysningene som er nødvendig for å gjennomføre seminaret slik som navn, e-post, telefon nummer og eventuelt arbeidssted til deltakere der det er nødvendig. Informasjonen brukes til å oppnå oversikt over antall deltakere og til å tilpasse innholdet i seminarene.

Det rettslige grunnlaget for å behandle personopplysninger i forbindelse med påmelding til seminarer er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining). Det rettslige grunnlaget for å sende ut seminarinvitasjoner til tidligere seminardeltakere er GDPR artikkel 6 nr. 1 bokstav a (samtykke). Dersom du har samtykket til å i fremtiden motta invitasjoner til seminarer, kan du når som helst trekke tilbake ditt samtykke. Du vil da bli slettet fra vår e-post-liste.

Nettsider

Nettstatistikk: Vi samler inn avidentifiserte opplysninger om besøkende på nettsiden governance.no og amlapp.no / amlapp.com. Formålet er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet og innholdet på våre nettsider. Eksempler på hva statistikken gir svar på, er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke land besøkende kommer fra.

Opplysningene behandles i avidentifisert og aggregert form. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker.

Vi bruker analyseverktøyet Koko Analytics.

Informasjonskapsler: Våre nettsider bruker informasjonskapsler slik nesten alle nettsider gjør. Se egen cookie banner for informasjon om informasjonskapsler på vår nettside.

Kontaktinformasjon: Du kan kontakte oss ved å oppgi navn og e-post/telefon nummer. Personopplysningene vi mottar blir ikke benyttet til andre formål enn å besvare din henvendelse. Grunnlaget for behandlingen er GDPR artikkel 6 nr. 1 bokstav a (samtykke). Etter at vi har besvart din henvendelse vil dine personopplysninger bli slettet, dersom annet ikke avtales særskilt.

6. Dine rettigheter

Innledning

Når vi behandler personopplysninger om deg har du rettigheter etter personvernregelverket. Nedenfor redegjør vi nærmere for disse rettighetene og når de gjelder. Dersom du ønsker å håndheve dine rettigheter ber vi deg om å ta kontakt med personene som nevnt nedenfor (se kontaktinformasjon).

Rett til informasjon

Retten til informasjon innebærer at du kan henvende deg til oss og be om detaljert informasjon om hvordan vi behandler personopplysninger om deg. Det foreligger imidlertid enkelte unntak fra retten til informasjon.

Rett til innsyn

Retten til innsyn innebærer at du har krav på å få utlevert en kopi av den informasjonen som vi har lagret om deg. Det foreligger imidlertid enkelte unntak fra retten til informasjon.

Rett til retting

Retten til retting innebærer at du har krav på å få uriktige eller ufullstendige personopplysninger om deg selv korrigert eller oppdatert.

Rett til sletting

Retten til sletting innebærer at du har krav på å få opplysninger om deg selv slettet dersom personopplysningene ikke lenger er nødvendig for det formålet de var innhentet, du trekker tilbake ditt samtykke eller dersom du protesterer mot lovligheten av behandlingen. Det foreligger imidlertid et unntak fra denne retten dersom vi er rettslig forpliktet til å oppbevare opplysningene over en lenger periode.

Rett til begrensning av behandling

Retten til begrensning av behandling innebærer at du har krav på at behandlingen begrenses dersom du bestrider riktigheten av personopplysningene, behandlingen er ulovlig eller personopplysningene ikke lenger er nødvendig for det formålet de var innhentet.

Rett til å protestere mot behandlingen

Retten til å protestere mot behandlingen innebærer at du kan motsette deg en behandling som bygger på våre berettigede interesser, dersom det foreligger særlige grunner. Dette gjelder likevel ikke dersom vi kan vise til en tvingende berettiget grunner.

Retten til å trekke tilbake samtykke

Hvis du har gitt oss samtykke til at vi bruker opplysninger om deg, kan du trekke tilbake samtykket når som helst. At du trekker tilbake ditt samtykke vil ikke påvirke lovligheten av behandlingen av personopplysninger som skjedde før du trakk samtykket tilbake.

Klage til Datatilsynet

Hvis du mener at vi bryter personvernregelverket eller ikke er fornøyd med vår behandling av din henvendelse kan du klage til Datatilsynet. Vi oppfordrer deg til å først ta kontakt med oss, slik at vi kan gi svar og avklare eventuelle misforståelser.

7. Kontaktinformasjon

Det er daglig leder i foretaket som har det øverste ansvaret for at virksomheten overholder personvernregelverket.

Dersom du har spørsmål eller kommentarer til hvordan vi behandler personopplysninger om ansatte, kan du ta kontakt med oss ved å sende e-post til hello@governance.no.

8. Endringer i personvernerklæringen

Denne personvernerklæringen gjelder for foretakene AML app AS, Compliance Support AS og Compliance advisor – Erling Grimstad AS. Personvernerklæringen kan oppdateres fortløpende uten at vi legger ut et spesifikt varsel for dette. Dersom endringene er materielle og/eller påvirker dine rettigheter, vil vi legge ut et varsel om at personvernerklæringen er oppdatert. Den til enhver tid gjeldene personvernerklæringen er publisert på vår nettside.

Cookie	Varighet	Beskrivelse
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.