I Norfersk behandler vi personopplysninger om våre ansatte, kunder og andre som er i kontakt med Norfersk, enten på nett eller gjennom fysiske besøk i våre lokaler.
I denne erklæringen forteller vi hva slags typer personopplysninger vi behandler, for hvilke formål og hvordan vi oppbevarer de. Her finnes også informasjon om hvilke rettigheter de som er registrert med sine personopplysninger hos oss har, og hvordan man gjør bruk av disse rettighetene.
Fra sommeren 2018 blir EUs personvernforordning 2016/679 (GDPR) gjort gjeldende som norsk lov, med noen tilpasninger i den norske personopplysningsloven. Vi gjør vårt ytterste i å sørge for at personopplysninger behandles på en forsvarlig måte og i tråd med gjeldende regelverk. Vi forsikrer oss om at våre leverandører også gjør det samme.
Det er Nortura SA som er ansvarlig for virksomhetens behandling av personopplysninger. Kontaktinformasjon for henvendelser om personvern finner du til slutt i denne erklæringen.
Nedenfor gir vi en beskrivelse av de hovedkategorier av personopplysninger vi behandler, og for hvilke formål.
Kunde- og leverandøropplysninger
Norfersk behandler personopplysninger i forbindelse med oppfølging av kunder og leverandører. Disse er i all hovedsak bedrifter, og personopplysningene som behandles vil være navn og kontaktinformasjon for ansatte i disse bedriftene.
Formålet med denne behandlingen av personopplysninger er å ivareta og følge opp Norfersk sine kunde- og leverandørforpliktelser. Det rettslige grunnlaget for behandlingen er personvernforordningen artikkel 6,1 bokstav b, hvor behandling av personopplysninger vil være nødvendig for enten å oppfylle en kontrakt med den registrerte eller for å utføre gjøremål etter ønske fra den registrerte.
Forbrukerkontakt
Via digitale salgskanaler driver Norfersk salg direkte til forbruker. I den forbindelse behandles personopplysninger slik som kundens navn og telefonnummer, samt brukernavn og passord for innloggingen. Formålet er å håndtere bestillinger og leveringer.
Vi behandler også personopplysninger om forbrukere vi er i kontakt med, enten fordi forbrukeren selv tar kontakt med oss, eller at vi gjør markedsundersøkelser, arrangerer konkurranser eller på annen måte driver markedsføring direkte rettet mot forbrukeren.
Hvilke kategorier av personopplysninger som behandles, vil variere ettersom hva slags kontakt det er snakk om. I hovedsak vil dette være navn, adresse, e-postadresse, kontonummer, bilder, videofiler, fødselsdato og nasjonalitet. I enkelte tilfeller vil personopplysningene også kunne omfatte helseopplysninger, for eksempel hvis en forbruker henvender seg til oss fordi han/hun har en sykdom eller allergi og lurer på noe om Norfersk sine produkter. Slike helseopplysninger vil kun bli behandlet i den utstrekning det er nødvendig for den videre oppfølging av henvendelsen. Opplysningene vil bli slettet når formålet et nådd.
Hjemmel for behandling av personopplysninger er personvernforordningen artikkel 6,1 bokstav b, hvor behandling av personopplysninger vil være nødvendig for enten å oppfylle en kontrakt med den registrerte eller for å utføre gjøremål etter ønske fra den registrerte. I enkelte tilfeller av markedsføringshenvendelser behandles personopplysninger med hjemmel i personvernforordningen art 6 bokstav f, basert på en interesseavveining. Her vil det kun være navn og kontaktinformasjon som lagres, slik at personverninngripen for den enkelte anses som lav. Nødvendige helseopplysninger behandles med hjemmel i personvernforordningen artikkel 9,2 bokstav a og e.
Produksjonsvirksomhet
Norfersk behandler personopplysninger som ledd i sin produksjonsvirksomhet. Dette vil i hovedsak være opplysninger samlet inn som ledd i adgangskontroll, samt registrering av personer og kjøretøy inn og ut av anlegg og bygg. Personopplysninger som behandles er navn, telefonnummer, bedrift og mottaker. I tillegg etterspørres helseopplysninger (relatert til evt. smittsomme sykdommer) fra besøkende, før det gis adgang til anlegg. Dette er for å hindre at smitte kommer inn i produksjonslokalet. Denne behandlingen er hjemlet i personvernforordningen artikkel 6,1 bokstav b og f, og artikkel 9,2 bokstav g for helseopplysningene. Behandlingen er papirbasert og dokumentene makuleres når formål med innhenting er oppnådd.
For å forebygge og avsløre kriminelle handlinger, og ivareta sikkerheten til personer på anlegget, har Norfersk installert kameraovervåkning på flere av sine lokasjoner. Kameraovervåkningen er etablert i tråd med gjeldende regelverk og innebærer behandling av personopplysninger i form av bilder og video. Behandlingen av personopplysninger er ansett nødvendig for å ivareta sikkerheten, og er basert på en interesseavveining jf. personvernforordningen art. 6,1 bokstav f.
Beredskap og mattrygghet
I forbindelse med beredskapssaker, for eksempel sykdomsutbrudd, skader osv. vil det kunne være nødvendig for Norfersk å behandle personopplysninger til den eller de som er rammet av et slikt utbrudd. Dette vil kunne være navn, adresse, kjønn, fødselsdato, telefonnummer, informasjon om slektninger, reise og transportruter. Det vil også kunne være aktuelt å behandle helseopplysninger, både den registrertes egen helsehistorikk og familiemedlemmers. Slike opplysninger behandles kun i den grad de er nødvendige i en beredskapssammenheng for å avdekke smitte el. Opplysningene vil bli slettet når dette formålet er nådd.
Opplysninger om ansatte
Norfersk behandler personopplysninger om sine ansatte og innleide for å administrere lønn og personalansvar, samt tilgangsstyring i lokaler og IT-systemer. For disse formål registreres opplysninger som navn, fødselsdato, personnummer, adresse, epost, telefonnummer, pårørende, kjønn, nasjonalitet og kontonummer. Rettslig grunnlag for behandlingen er personvernforordningen artikkel 6,1 bokstav b, c og f.
I tillegg registreres opplysninger om fagforeningsmedlemskap og helseopplysninger knyttet til fravær, arbeidsulykker og behov for tilrettelegging på arbeidsplassen. Norfersk benytter Nortura SA bedriftshelsetjeneste, som behandler helseopplysninger om ansatte som benytter seg av tjenesten. Rettslig grunnlag for disse behandlingene er personvernforordningen artikkel 9,2 bokstav b.
Norfersk behandler også personopplysninger gjennom det elektroniske rekrutteringsverktøyet Easycruit. Visma er leverandør av løsningen og opptrer som databehandler i henhold til skriftlig avtale. Formålet med behandlingen er rekruttering, og det rettslige grunnlaget for behandlingen er personvernforordningen artikkel 6,1 bokstav a og b. Søknader slettes 6 måneder etter at ansettelsesprosessen er ferdigstilt.
Datanettverk og kommunikasjon
Norfersk behandler personopplysninger som ledd i forvaltningen av sine data- og kommunikasjonsnettverk. Systemer og nettverk overvåkes i tråd med gjeldende regelverk for å avdekke mulige sikkerhetsbrudd og uønskede hendelser. Opplysninger som lagres er navn, IP-adresse, e-postadresse, brukernavn og passord.
Behandlingen er hjemlet i personvernforordningen artikkel 6,1 bokstav f, basert på en vurdering av at slik behandling er nødvendig for å oppnå formålet, og at Norfersk sin interesse i å ivareta sikkerheten for systemene, overstiger hensynet til den enkeltes personvern. Personvernulempen for den enkelte er vurdert som liten, gitt at det i all hovedsak er trafikkdata som logges, ikke gjennomgang av enkeltopplysninger.
Informasjonskapsler og webanalyse
Norfersk benytter informasjonskapsler for å bedre brukeropplevelsen på nettstedet (Norfersk.no).
En informasjonskapsel er en liten tekstfil som lagres på datamaskinen når du besøker og navigerer på nettstedet. De fleste nettlesere er innstilt slik at de automatisk godkjenner bruken av informasjonskapsler. Dersom du ikke ønsker dette, må du endre innstillingene i nettleseren din. Hvis du deaktiverer informasjonskapslene, vil det kunne føre til at funksjonaliteten på nettstedet blir begrenset.
Vi benytter analyseverktøyene Google Analytics og Facebook Pixel til å analysere trafikken på Norfersk sitt nettsted. Informasjonen som samles inn behandles av Google og Facebook i tråd med deres retningslinjer for personvern.
Det er frivillig for de som besøker Norfersk sitt nettsted om de ønsker å oppgi personopplysninger, eller ikke. Ved å lukke meldingsboksen som dukker opp på nettsiden, samtykker du i denne behandlingen av personopplysninger.
Lagring og utlevering
Personopplysningene som Norfersk behandler lagres primært på servere hos Norfersk eller Norfersk sine tjenesteleverandører i Norge eller i EU. For enkelte applikasjoner lagres også personopplysninger hos skytjenesteleverandører etablert i Norge og EU.
Enkelte av personopplysningene vi behandler overføres til vår tjenesteleverandør for IT-systemer Tech Mahindra i India. Vi har inngått en databehandling- og overføringsavtale med Tech Mahindra basert på EUs standardkontrakt for slik overføring. Tech Mahindra har gjennom denne avtalen forpliktet seg til å behandle personopplysningene i tråd med personregelverket som gjelder innen EU-/EØS-området, herunder kravene til informasjonssikkerhet.
Databehandlere
Norfersk benytter eksterne tjenesteleverandører for ulike deler av virksomheten. Når slike tjenesteleverandører behandler personopplysninger på vegne av Norfersk, gjøres det basert på en skriftlig databehandleravtale som regulerer behandlingsoppdraget.
Sletterutiner
Norfersk benytter seg av Nortura SA som har utarbeidet rutiner som skal sikre at personopplysninger slettes når formålet opplysningene var innhentet for, er oppfylt. Det er definert tre standardiserte nivåer for lagringstid, som er innarbeidet for alle typer behandling av personopplysninger i Norfersk.
Rettigheter
Personer som er registrerte i systemene til Norfersk har rett til innsyn i egne opplysninger. Dersom personopplysningene er feil eller ufullstendige, eller dersom Norfersk behandler personopplysninger de ikke har lov til, kan den registrerte kreve at slike opplysninger rettes, slettes eller suppleres. Slike henvendelser behandles innen 30 dager etter at henvendelsen er mottatt.
Kontakt for spørsmål og henvendelser om personvern
Har du spørsmål knyttet til denne personvernerklæringen eller hvordan vi behandler personopplysninger, kan du kontakte Norfersk på e-post personvern@norfersk.no
Her kan du også henvende deg dersom du ønsker innsyn i opplysninger som Norfersk har registrert om deg.