Behandling av personopplysninger
TheVIT er behandlingsansvarlig for all behandling av personopplysninger der vi selv bestemmer formålet med behandlingen, og de virkemidlene vi benytter til dette.
TheVIT er forpliktet til å behandle alle personopplysninger på en forsvarlig måte. Her kan du lese om hvordan vi samler inn, benytter og beskytter personopplysninger.
Hvilke opplysninger behandler vi på våre nettsteder?
TheVIT samler inn opplysninger om besøkende på thevit.no med formål å utarbeide statistikk til å forbedre og videreutvikle informasjonstilbudet på nettstedet. Statistikken viser for eksempel hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes. TheVIT kan ikke spore opplysningene tilbake til den enkelte bruker.
Behandlingsgrunnlaget for generering av anonym statistikk er personvernforordningen artikkel 6 nr. 1 bokstav f, som tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å forbedre og videreutvikle informasjon på våre nettsider.
Når du deler innlegg fra TheVIT på andre nettsteder, legges informasjon inn hos det nettsamfunnet. Hvordan det aktuelle nettsamfunnet håndterer dataene videre reguleres av din avtale med nettsamfunnet.
Grunnlaget for behandling av personopplysninger i tilfelle der du deler eller kommenterer ett innlegg er personvernforordningen artikkel 6 nr. 1 bokstav a – samtykke.
Behandling av opplysninger om våre kunder og samarbeidspartnere
TheVIT behandler opplysninger om kunder og samarbeidspartnere for å oppfylle våre oppdragsavtaler med kunder.
Opplysningene som registreres er avhengig av det enkelte kundeforholdet. Vi registrerer som oftest kun personopplysninger til våre kontaktpersoner hos kunden, og disse består av navn, firmaadresse, rolle/stillingstittel, e-postadresse og telefonnummer. Det rettslige grunnlaget for slik behandling er GDPR Artikkel 6 bokstav b, c og f, samt GDPR Artikkel 9 bokstav a og b. Personopplysningene lagres i en egen database og slettes fem år etter avslutning av kundeforholdet.
TheVIT søker, så langt det er forenelig med de forpliktelser vi har påtatt oss i avtaler med kunder, å unngå behandling av personopplysninger i kundeforhold. I den utstrekning det er nødvendig å behandle personopplysninger for å ivareta oppdragsavtalen, skjer behandlingen i henhold til gjeldende personvernbestemmelser. Hos kunder der TheVIT håndterer hele eller deler av regnskaps- og/eller lønnsføringen, behandles personopplysninger som f.eks. navn, fødselsnummer, bankkontonummer og lønns- og trekkopplysninger. I disse tilfeller innhentes personopplysninger enten direkte fra kunden, eller i noen tilfeller fra tredjepart (f.eks. Altinn).
I regnskaps- og/eller lønnsoppdrag er TheVIT en databehandler, og det inngås alltid en databehandleravtale med kunden som behandlingsansvarlig. Databehandleravtalen er basert på retningslinjer fra Regnskap Norge og Datatilsynet, og setter rammer for behandling av personopplysninger, sikkerhetstiltakene og slettefrister.
Alle opplysninger om kunder og samarbeidspartnere arkiveres i et tilgangsstyrt, skybasert arkivsystem og håndteres i TheVIT sitt kunde- og ordrebehandlingssystem. Den daglige håndteringen av kundeopplysningene utføres av kunde- og oppdragsansvarlig og deres kundeteam.
Grunnlaget for behandling av personopplysninger i et kundeforhold er personvernforordningen artikkel 6 nr. 1 bokstav b og c, som tillater oss å behandle opplysninger som er nødvendig for å oppfylle en avtale, og en rettslig forpliktelse.
Behandling av personopplysninger i forbindelse med kundekontrolltiltak
TheVIT er et autorisert regnskapsførerselskap, og dermed underlagt hvitvaskingslovens regler. Vi er pålagt å gjennomføre en kundekontroll for alle våre kunder i medhold av hvitvaskingsloven kapittel 4, samt å gjennomføre nærmere undersøkelser dersom det foreligger en mistanke om at en transaksjon kan ha tilknytning til utbytte av en straffbar handling.
I forbindelse med kundekontroll samler TheVIT personopplysninger om reelle rettighetshavere, herunder navn/foretaksnavn, fødselsnummer/organisasjonsnummer, fast adresse og familieforhold (tilknytning til politisk eksponerte personer). Behandling av personopplysninger knyttet til kundekontroll og en eventuell undersøkelsesplikt kan innebære behandling av sensitive personopplysninger, blant annet knyttet til straffbare forhold.
Etter hvitvaskingsloven § 30 er TheVIT pålagt å oppbevare dokumenter benyttet i forbindelse med kundekontroll i minst fem år etter at kundeforholdet er avsluttet eller transaksjonen er gjennomført, med mindre lengre frister følger av annen lov eller forskrift. Slik dokumentasjon oppbevares i tilgangsstyrte databaser.
Dersom det foreligger en mistanke om hvitvasking, kan TheVITs hvitvaskingsansvarlig etter nærmere undersøkelser vurdere det dithen at Økokrim kontaktes, og relevante opplysninger utleveres i medhold av §26 i hvitvaskingsloven.
Behandling av opplysninger om våre ansatte
TheVIT behandler personopplysninger som ledd i personaladministrasjon. Personopplysningene som behandles i denne forbindelse er blant annet personalia, lønnsopplysninger, evalueringer, opplysninger om pårørende, og utdannelse/stillingsnivå.
Det rettslige grunnlaget for denne behandlingen er oppfyllelse av arbeidsavtalen, jf GDPR Artikkel 6 bokstav b og c.
Personopplysninger tilknyttet personaladministrasjon blir oppbevart så lenge vedkommende er ansatt. Opplysninger anonymiseres etter avsluttet arbeidsforhold, men historikken beholdes da TheVIT har berettiget interesse i å kjenne en slik historikk.
Administrerende direktør og HR-administrasjon har det daglige ansvaret for behandling av personopplysninger om TheVITs egne ansatte.
Nyhetsbrev
Det er mulig å frivillig abonnere på nyhetsbrev og annet fagstoff. Dersom det ikke foreligger et eksisterende kundeforhold, må man samtykke til å jevnlig motta e-post, og det rettslige grunnlaget for denne behandlingen er GDPR Artikkel 6 bokstav a – samtykke. Den registrerte kan når som helst trekke samtykke for oppbevaring av kontaktopplysninger, og TheVIT vil da slette vedkommende fra nyhetsbrevslisten.
TheVIT har en berettiget interesse i å markedsføre seg overfor sine kunder. Det rettslige grunnlaget for denne behandlingen er GDPR Artikkel 6 bokstav f – nødvendig for formål knyttet til de berettigede interessene. Som kunde kan du likevel når som helst be om å bli slettet fra vår nyhetsbrevsliste.
Bruk av e-post og telefon
TheVITs medarbeidere benytter i all hovedsak telefon og e-post i alminnelig dialog med interne og eksterne kontakter. Vi gjør oppmerksom på at vanlig e-post er ukryptert. Relevante opplysninger som fremkommer av telefonsamtaler og e-postutveksling, som skjer som en del av vår kundedialog, arkiveres og behandles som beskrevet over i punktet om behandling av opplysninger om våre kunder og samarbeidspartnere. Våre ansatte er ansvarlig for å slette meldinger som ikke lenger er aktuelle og minst hvert år gjennomgå og slette unødvendig innhold i e-postkassen og på lagringsenheter på pc ihht gjeldende sjekkliste. Ved fratreden slettes e-postkontoene, men enkelte relevante e-poster vil normalt bli overført til kolleger.
Personopplysninger, sensitive opplysninger, taushetsbelagte eller andre fortrolige opplysninger skal ikke sendes med e-post.
Hvordan kan du administrere informasjon som omhandler deg?
Du er «den registrerte» dersom TheVIT oppbevarer og behandler dine personopplysninger, enten i rolle som behandlingsansvarlig (i relasjon til egne ansatte), eller som databehandler (i relasjon til kunder og andre samarbeidspartnere).
Som den registrerte har du rett til å be om innsyn i de personopplysninger TheVIT oppbevarer om deg, og få informasjon om behandlingen av disse opplysningene. I tråd med dette kan du kreve å få opplysningene rettet og/eller supplert dersom de er feilaktige, eller slettet, f.eks. i tilfeller der du ikke lenger ønsker å motta nyhetsbrev (retten å bli glemt).
Den registrerte har også rett til dataportabilitet i henhold til gjeldende lovgivning. Dette betyr at du kan be om å få utlevert personopplysninger om deg, og gjenbruke disse som du vil på tvers av ulike systemer og tjenester. Opplysningene skal utleveres i et maskinlesbart og vanlig brukt filformat. Din rett til dataportabilitet gjelder kun hvis opplysningene du ønsker utlevert er samlet inn på bakgrunn av samtykke eller kontrakt, og rettigheten gjelder kun opplysninger som du selv har gitt til virksomheten. Dette gjelder for eksempel opplysninger som du bevist og aktivt har gitt fra deg, for eksempel i forbindelse med signering av en oppdragsavtale og opprettelse av kundeforholdet.
For å utøve dine rettigheter, ta kontakt med TheVITs personvernansvarlig. Krav fra den registrerte skal besvares senest innen 30 dager.