Personvernerklæring

HMSpass AS er leverandøren av tjenesten byggekort.no og behandler personopplysninger i forbindelse med både bestilling og drift av denne løsningen.

Hos HMSpass AS prioriterer vi personvern høyt. Vi sørger for at dine personopplysninger behandles med respekt, sikkerhet og kun i tråd med de formålene de ble innhentet for. Denne erklæringen gir deg innsyn i hvordan vi samler inn, bruker og beskytter dine data – enten du er sluttbruker eller representerer en kundevirksomhet («Kunden»).

Ansvar og regelverk

Vi følger kravene i personopplysningsloven og EUs personvernforordning (GDPR). Som behandlingsansvarlig plikter vi å sikre at personopplysninger håndteres i henhold til gjeldende lover og retningslinjer.

Du har rett til å forstå hvilke data vi behandler, hvorfor vi gjør det og hvilke rettigheter du har. Denne erklæringen gir deg oversikt over vår behandling av personopplysninger. Skulle det skje endringer i hvordan vi behandler slike opplysninger, vil vi oppdatere innholdet her.

Når har HMSpass ansvar for dine personopplysninger?

Daglig leder i HMSpass AS er ansvarlig for behandlingen av personopplysninger i vår virksomhet. Når du bestiller eller bruker våre tjenester, behandler vi opplysninger som kontaktinformasjon og fakturadetaljer – dette gjelder bestiller og andre relevante personer hos Kunden. I slike tilfeller er HMSpass AS behandlingsansvarlig.

Dersom vi håndterer persondata om arbeidstakere på vegne av Kunden, opptrer vi som databehandler. For informasjon som samles inn via våre nettsider (f.eks. cookies), er HMSpass AS behandlingsansvarlig.

Hva regnes som personopplysninger?

Personopplysninger er all informasjon som kan knyttes til en identifiserbar enkeltperson – for eksempel navn, telefonnummer, e-postadresse, fødselsnummer eller bilder.

Hvilke data behandler vi?

Avhengig av tjenesten behandler vi:

  • Navn og kontaktopplysninger til Kundens kontaktperson
  • Fakturainformasjon
  • Fødselsnummer eller D-nummer
  • Foto
  • Andre relevante opplysninger lagt inn i vår løsning av Kunden

Datamengden varierer basert på tjenestetype og løsningens funksjonalitet. Ved behandling på vegne av Kunden, er vi kun databehandler. Se databehandleravtalen for mer informasjon.

Hvorfor behandler vi personopplysninger?

Formålet med behandlingen er å:

  • Leverer bestilte tjenester
  • Kommunisere effektivt med Kunden
  • Yte brukerstøtte og kundeservice
  • Utføre interne analyser og markedsaktiviteter der relevant

Behandlingsgrunnlag

  • Avtaleforpliktelse – nødvendig for å oppfylle en inngått avtale, jf. GDPR art. 6(1)(b)
  • Berettiget interesse – som å forbedre tjenester eller følge opp en eksisterende kundeforbindelse, jf. GDPR art. 6(1)(f)
  • Rettslig plikt – f.eks. lagring av fakturadata, jf. GDPR art. 6(1)(c) og bokføringsloven § 13
  • Samtykke – for bruk av ikke-nødvendige informasjonskapsler og lignende, jf. GDPR art. 6(1)(a) og ekomloven § 2-7 b

Hvordan samler vi inn personopplysninger?

Data samles vanligvis inn direkte fra deg ved bestilling eller kontakt via nettsiden. I noen tilfeller hentes data fra tredjepartsløsninger (f.eks. ved feilsøking), men da anonymiseres opplysningene før analyse.

Cookies brukes på nettsiden for å forbedre funksjonalitet og brukeropplevelse. Disse kan også brukes av tredjeparter som Google for annonsering.

Bruk av informasjonskapsler

Vi bruker CookieYes som vår løsning for samtykkebehandling av informasjonskapsler. Dette verktøyet sørger for at besøkende kan gi eller trekke tilbake sitt samtykke på en enkel og oversiktlig måte, i tråd med kravene i personvernlovgivningen.

Vi benytter informasjonskapsler for å:

  • Sikre grunnleggende funksjonalitet (berettiget interesse)
  • Analysere bruksmønster og forbedre løsninger (samtykke)
  • Styrke markedsføringsaktiviteter via tredjepartsnettverk (samtykke)

Hvem deles opplysningene med?

Vi deler ikke personopplysninger med eksterne parter med mindre det er nødvendig for å oppfylle våre tjenester.

Ved bestilling av HMS-kort deles nødvendige opplysninger med Arbeidstilsynet og Evry Card. Dersom vi engasjerer underleverandører som behandler personopplysninger på våre vegne, vil vi inngå databehandleravtaler som stiller tilsvarende krav til datasikkerhet og personvern som vi selv etterlever.

Vi kan også bli rettslig forpliktet til å dele informasjon med offentlige myndigheter ved lovbruddsmistanke. Ingen personopplysninger overføres til land utenfor EU/EØS.

Dine rettigheter

Du kan når som helst:

  • Be om innsyn i dine registrerte data
  • Kreve retting eller sletting
  • Protestere mot behandlingen
  • Kreve midlertidig begrensning i behandlingen
  • Be om utlevering i maskinlesbart format (dataportabilitet)

Ønsker du å trekke tilbake et tidligere gitt samtykke, kan dette gjøres når som helst. Tilbakekall påvirker ikke behandling som allerede er utført.

Vi svarer vanligvis på slike henvendelser innen 30 dager. Ved behov for identitetsbekreftelse, kan vi be om tilleggsopplysninger.

Oppbevaring

Personopplysninger oppbevares kun så lenge det er nødvendig for formålet de ble samlet inn for – eller så lenge det er lovpålagt.

Dersom det er grunn til å forvente gjentakende bestillinger, kan opplysningene beholdes midlertidig for å gjøre prosessen enklere ved ny bestilling.

Sletting skjer i henhold til interne prosedyrer, med sikker og kontrollert tilgang.

Informasjonssikkerhet

Vi arbeider systematisk med å sikre dine personopplysninger. Dette innebærer:

  • Risikovurderinger
  • Tekniske sikkerhetstiltak
  • Strenge tilgangsbegrensninger
  • Jevnlig internkontroll og opplæring

Alle våre ansatte er underlagt taushetsplikt. Ved mistanke om sikkerhetsbrudd, ber vi deg kontakte oss umiddelbart.

Klageadgang

Hvis du mener at vi ikke behandler dine personopplysninger i tråd med lovverket, kan du klage til Datatilsynet. Vi anbefaler imidlertid at du først kontakter oss direkte, slik at vi kan forsøke å løse saken.

Kontakt oss

Endringer i denne erklæringen

Vi forbeholder oss retten til å oppdatere denne erklæringen ved endringer i regelverk eller praksis.