Retningslinjer og sertifikater

Personvernerklæring for kunder og partnere

Du har rett til å protestere, av grunner knyttet til din spesielle situasjon, mot behandlingen av dine personopplysninger når som helst når vi behandler dataene dine basert på våre legitime interesser eller for direkte markedsføringsformål. Se avsnitt 3 og 8.6 i dette dokumentet for mer informasjon.

1 Introduksjon

Vi (Ensto Group-selskapet som fungerer som kontrollør som angitt i avsnitt 2 nedenfor) er forpliktet til å beskytte personvernet og sikkerheten til din personlige informasjon. Denne personvernerklæringen beskriver hvordan vi samler inn og bruker personopplysninger om deg, i samsvar med personvernforordningen (GDPR).

Denne policyen gjelder for alle Ensto Group-selskapers business-to-business-kunder, leverandører, distributører, leverandører og andre forretningspartnere (samlet referert til i dette dokumentet som "interessenter"). Denne policyen utgjør ikke en del av noen kontrakt og etablerer heller ingen forpliktelse til å levere tjenester. Vi kan oppdatere disse retningslinjene når som helst og vil gjøre en oppdatert versjon tilgjengelig for deg.

Det er viktig at du leser disse retningslinjene, sammen med eventuelle andre retningslinjer for personvern vi kan gi ved spesifikke anledninger når vi samler inn eller behandler personopplysninger om deg, slik at du er klar over hvordan og hvorfor vi bruker slik informasjon.

2 Informasjon om behandlingsansvarlig

Denne policyen gjelder personopplysninger som ett eller flere selskaper i Ensto-konsernet behandler om deg i rollen som behandlingsansvarlig. Hvis du for eksempel er kunde hos Ensto Oy, behandler Ensto Oy kundedataene dine som behandlingsansvarlig. I tilfelle du også er kunde hos Ensto Finland Oy, fungerer selskapet også som behandlingsansvarlig for kundedataene de har om deg.

Se personvernerklæringen som gjelder for din spesielle situasjon for mer detaljert informasjon privacy@ensto.com.

3 Formål og rettslig grunnlag for databehandling 

Hensikt

Rettslig grunnlag
  • Opprette, vedlikeholde og forbedre Ensto-gruppens selskapers produkter, tjenester og interessentrelasjoner, og tilby tjenester relatert til dette
  • Behandling er nødvendig for våre legitime interesser for å markedsføre, skape og forbedre virksomheten vår, gjennomføre risikovurderinger, gjennomføre due diligence for interessenter, tilpasse våre tjenester og kommunikasjon, oppdatere interessentdetaljer og preferanser, utføre logistikk og overføre data til selskaper i og utenfor Ensto Group for bedre å betjene våre interessenter og allokere våre ressurser; og/eller

  • Ditt samtykke; og/eller

  • Behandling er nødvendig for å oppfylle kontrakten vår med deg (for eksempel utførelse av FoU-tjenester) eller for å iverksette tiltak på din forespørsel før du inngår en kontrakt
  • Tilby produkter og tjenester og interessenthåndtering
  • Behandling er nødvendig for utførelsen av kontrakten vår med deg (for eksempel for å levere avtalte varer); og/eller

  • Behandling er nødvendig for våre legitime interesser for å utføre risikovurderinger, gjennomføre due diligence for interessenter, tilpasse våre tjenester og kommunikasjon, markedsføre, utføre logistikk og overføre data til selskaper i og utenfor Ensto Group for bedre å betjene våre interessenter og allokere våre ressurser
  • Overholdelse av kontraktsforpliktelser
  • Behandling er nødvendig for å oppfylle kontrakten vår med deg 
  •  Virksomhetsledelse og planlegging
  • Behandlingen er nødvendig for våre legitime interesser for å håndtere krav og løse tvister, påta seg regnskapsforpliktelser, påta seg revisjonsforpliktelser samt strategisk planlegging og ressursanalyse
  •  Administrasjon av kontoer
  • Behandling er nødvendig for å oppfylle kontrakten vår med deg; og/eller

  • Behandling er nødvendig for våre legitime interesser for å utføre risikovurderinger, gjennomføre due diligence for interessenter, tilpasse våre tjenester og kommunikasjon, markedsføre og overføre data mellom selskaper i Ensto Group for bedre å betjene våre interessenter og allokere våre ressurser
  •  Organisering av arrangementer
  • Behandling er nødvendig for våre legitime interesser for å skape, forbedre og markedsføre virksomheten vår og kommunisere med interessenter; og/eller

  • Ditt samtykke
  • Interessentkommunikasjon og undersøkelser
 
  • Behandling er nødvendig for våre legitime interesser for å markedsføre, for å skape og forbedre vår virksomhet, og for å tilpasse våre tjenester og kommunikasjon
  • Krisekommunikasjon mot interessenter
 
  • Behandling er nødvendig for å overholde våre juridiske forpliktelser (for eksempel for å informere deg om eventuelle datainnbrudd)
  • Overholdelse av rettslige forpliktelser som følger av blant annet regnskapsloven (1336/1997)
 
  •  Behandling er nødvendig for å overholde våre juridiske forpliktelser (for eksempel for å føre riktige og nøyaktige bøker)
  • Støtter nettverks- og systemsikkerhet
  • Behandling er nødvendig for å overholde våre juridiske forpliktelser; og/eller

  • Behandling er nødvendig for våre legitime interesser for å overvåke datatrafikk og nettverkssikkerhet
  •  Analysere viktige salgsytelsesindikatorer
  • Behandling er nødvendig for våre legitime interesser for å markedsføre, for å opprette og forbedre virksomheten vår, foreta risikovurderinger, tilpasse våre tjenester og kommunikasjon, og for å oppdatere interessentdetaljer og preferanser
  • Juridiske prosesser og overholdelse av rettskjennelser, og beskyttelse av rettigheter i Ensto-konsernet
  • Behandling er nødvendig for å overholde våre juridiske forpliktelser; og eller

  • Behandling er nødvendig for våre legitime interesser for å beskytte våre immaterielle rettigheter og andre rettigheter mot tredjeparts krav eller krav fra myndighetene
  • Fusjoner og oppkjøp der vi er involvert
  • Behandling er nødvendig for våre legitime interesser for å utvikle og administrere virksomheten vår
  • Formål med identifikasjon
  • Behandlingen er nødvendig for å overholde våre juridiske forpliktelser (for eksempel for å sikre at personopplysninger ikke utleveres til feil person)
  • Direkte markedsføring av Ensto-gruppens selskapers produkter og tjenester (inkludert nyhetsbrev), informasjon om arrangementer organisert eller deltatt av Ensto-konsernselskaper, for eksempel messer
  • Behandling er nødvendig for våre legitime interesser for å markedsføre, skape og forbedre vår virksomhet og tilpasse våre tjenester og kommunikasjon; og/eller

  • Ditt samtykke
Historisk forskning
  • Offentlig interesse; og/eller

  • Behandlingen er nødvendig for vår legitime interesse for å utarbeide historiske oversikter og kronikker om vår utvikling gjennom årene og som sådan tilfredsstille en generell interesse for kunnskap; og/eller

  • Ditt samtykke

4 Kategorier av personopplysninger og deres oppbevaringsperioder 

Vi vil bare beholde dine personopplysninger så lenge det er nødvendig for å oppfylle formålene vi samlet dem inn for, inkludert for å tilfredsstille eventuelle juridiske, regnskapsmessige eller rapporteringskrav. For å bestemme riktig oppbevaringsperiode for personopplysninger, vurderer vi mengden, arten og sensitiviteten til personopplysningene, den potensielle risikoen for skade fra uautorisert bruk eller utlevering av dine personopplysninger, formålene vi behandler dine personopplysninger for og om vi kan oppnå disse formålene på andre måter, og gjeldende juridiske krav.

I noen tilfeller kan vi anonymisere dine personopplysninger slik at de ikke lenger kan knyttes til deg, i så fall kan vi bruke slik informasjon uten ytterligere varsel til deg. Vi kan også bli pålagt å beholde data lenger enn beskrevet nedenfor hvis det er nødvendig for en pågående rettslig prosess eller for å overholde en avgjørelse fra en domstol eller myndighet.

Detaljer om oppbevaringsperioder for ulike aspekter av dine personopplysninger er tilgjengelig nedenfor.

Kategori av data

Oppbevaringsperioden
  • Navn på interessent, navn og tittel på kontaktpersoner/representanter for interessenter, kontaktperson for selskaper i Ensto-konsernet og kontaktinformasjon til ovennevnte: adresse, telefonnummer, e-post
  • Beholdt i 10 år fra siste kommunikasjon knyttet til interessentforholdet

  • Vær oppmerksom på at hvis du for eksempel har valgt bort eller trukket tilbake samtykket til å motta nyhetsbrev eller andre markedsføringsmeldinger fra oss, kan det hende vi må lagre visse data lenger enn 10 år for å sikre at vi respekterer dine ønsker
  •  Tillatelser og samtykker
  • Beholdt i 10 år fra siste kommunikasjon knyttet til interessentforholdet

  • Vær oppmerksom på at hvis du for eksempel har valgt bort eller trukket tilbake samtykket til å motta nyhetsbrev eller andre markedsføringsmeldinger fra oss, kan det hende vi må lagre visse data lenger enn 10 år for å sikre at vi respekterer dine ønsker. 
  • Kontraktsdetaljer, inkludert varer og tjenester som leveres
  • Beholdt i 10 år fra siste kommunikasjon knyttet til interessentforholdet
  • Salgsinformasjon 
  • Beholdt i 10 år fra siste kommunikasjon knyttet til interessentforholdet
  •  Kontaktforespørsler og krav
  • Beholdt i 10 år fra siste kommunikasjon knyttet til interessentforholdet
  •  Resultater av kundeundersøkelser
  • Beholdes i 2 år fra slutten av undersøkelsen 
  •  Informasjon om betaling
  •  Slettes umiddelbart etter opphør av interessentforholdet, med mindre det brukes til historisk forskning eller for å beskytte våre immaterielle rettigheter mot tredjepartskrav eller for krav fra myndighetene. I sistnevnte tilfelle brukes fotografier som bevis/erklæring om bruk av våre merker. Når fotografier lagres for nevnte formål, er de tilstrekkelig beskyttet, og bruken av dem er begrenset for historisk forskning og beskyttelse av rettigheter
  • Pass- eller annen ID-kortinformasjon 
  • Oppbevares i 6 måneder fra innhenting av informasjonen 
  • Hendelsesrelaterte personopplysninger som kreves for at en person skal kunne delta i et arrangement organisert av et selskap i Ensto-gruppen, for eksempel handikapinformasjon for golfturneringer 
 
  •  Slettes umiddelbart etter hendelsen
  • Helsedata og allergier 
 
  • Slettes umiddelbart etter (i) en hendelse som slike data er samlet inn for, eller (ii) ditt besøk i Ensto-konsernselskapets lokaler som slike data er samlet inn for
  • Videoovervåkingsmateriale (video tatt opp kun utenfor Ensto-gruppens selskapers lokaler av generelle sikkerhetshensyn)
 
  • Oppbevares i maks 1 år, med mindre en lengre periode er nødvendig i henhold til gjeldende lov  
  • Nyhetsbrev eller andre direkte markedsføringsabonnementer og analyser (f.eks. om hvor mange ganger du har åpnet en markedsførings-e-post)
 
  • Slettes umiddelbart når abonnementet er kansellert (unntatt i den grad vi trenger å lagre data for å sikre at vi respekterer ditt ønske om ikke å motta direkte markedsføringsmeldinger fra oss)
  • Betalingshistorikk 
  • Beholdt i 10 år fra siste kommunikasjon knyttet til interessentforholdet

5 Kilder til personopplysninger

Vi samler inn dine personopplysninger hovedsakelig direkte fra deg, men også fra følgende kilder:

  • Eksterne kontaktlister innhentet fra kunder, leverandører, distributører, selgere og andre forretningspartnere samt under seminarer, arrangementer og utstillinger
  • Selskaper i Ensto-konsernet
  • Offentlig tilgjengelige kilder: LinkedIn, selskapers nettsteder
  • En tredjepart som en del av en fusjon eller et oppkjøp

Levering av personopplysninger er ikke obligatorisk, men kan være nødvendig for at vi skal kunne levere tjenester og produkter til deg, inngå en kontrakt med deg, kommunisere med deg og tilpasse vår markedsføring og kommunikasjon slik at den passer deg best. Når du har inngått en avtale med oss, kan levering av personopplysninger også være implisitte kontraktskrav for at vi skal kunne overholde sine kontraktsforpliktelser. Hvis du ikke gir oss dataene vi ber om, kan det hende at vi ikke kan gjøre forretninger med deg eller kontakte deg, og dermed kan vi bli tvunget til å avslutte vårt kontraktsmessige eller andre forhold med deg.

6 Mottakere av personopplysninger 

  • Eksterne juridiske rådgivere
  • Skatt og andre relevante myndigheter
  • Revisorer
  • IT-systemadministrasjonstjeneste gir
  • Leverandører av informasjonssikkerhetstjenester
  • Selskaper i Ensto-konsernet
  • Arrangører av arrangementer
  • Forretningspartnere: distributører, leverandører og selgere, business-to-business-kunder i tilfelle du har gitt oss tillatelse til å bruke deg/din bedrift som referanse
  • Tredjepart som ledd i en fusjon eller et oppkjøp

Vær oppmerksom på at selv om de fleste mottakere befinner seg i Finland eller andre steder i EU eller EØS, kan noen av de ovennevnte mottakerne være lokalisert eller behandle data i tredjeland, avhengig av personen hvis data behandles og den aktuelle situasjonen. Hvis vi og/eller våre tjenesteleverandører som behandler data på våre vegne, overfører dine personopplysninger til land utenfor EU eller EØS, er overføringen underlagt standard databeskyttelsesklausuler vedtatt av EU-kommisjonen eller andre passende sikkerhetstiltak som bindende selskapsregler, med mindre EU-kommisjonen har funnet at databeskyttelsesnivået er tilstrekkelig i det aktuelle landet. Du kan få en kopi av disse sikkerhetstiltakene ved å kontakte kontaktpersonen nevnt i punkt 2 ovenfor.

7 Profilering

Vi kan bruke informasjonskapsler og lignende teknologier når vi sender ut nyhetsbrev og markedsføringsmeldinger for å samle inn og analysere brukeraktivitetsdetaljer og preferanser. Basert på funnene våre kan vi for eksempel gi deg skreddersydde markedsføringsmeldinger. For mer informasjon om informasjonskapslene vi bruker og hvordan du kan velge å ikke bli underlagt dem, se våre retningslinjer for informasjonskapsler.

8 Dine rettigheter 

8.1 Rett til innsyn

Du har rett til å få bekreftelse fra oss på om vi behandler dine personopplysninger eller ikke, og når vi behandler slike data, har du rett til å få tilgang til dine personopplysninger og følgende informasjon:

  • formålene med behandlingen;
  • kategoriene av personopplysninger det gjelder;
  • mottakerne eller kategoriene av mottakere som personopplysninger har blitt eller vil bli utlevert til, spesielt mottakere i land utenfor EU og EØS eller internasjonale organisasjoner;
  • der det er mulig, den planlagte perioden som personopplysninger vil bli lagret i eller, hvis ikke mulig, kriteriene som brukes til å bestemme denne perioden;
  • eksistensen av retten til å be oss om retting eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger om deg eller til å protestere mot slik behandling;
  • retten til å sende inn en klage til en tilsynsmyndighet;
  • der personopplysningene ikke samles inn fra deg, all tilgjengelig informasjon om kilden;
  • eksistensen av automatisert beslutningstaking og meningsfull informasjon om logikken som er involvert, samt betydningen og de forventede konsekvensene av slik behandling for deg; og
  • passende sikkerhetstiltak som brukes på overføring av personopplysninger til land utenfor EU og EØS

Du har rett til å motta en kopi av personopplysningene som behandles så lenge kopien ikke påvirker andres rettigheter og friheter negativt. For ytterligere kopier du ber om, kan vi kreve et rimelig gebyr basert på administrative kostnader.

8.2 Rett til retting

Det er viktig at personopplysningene vi har om deg er nøyaktige og oppdaterte. Hold oss informert hvis din personlige informasjon endres.

Du har rett til å få dine unøyaktige personopplysninger rettet av oss uten unødig forsinkelse. Du har også rett til å få ufullstendige personopplysninger komplettert.

Vi vil kommunisere enhver retting av dine personopplysninger til hver mottaker som vi har utlevert dine personopplysninger til, med mindre dette viser seg å være umulig eller innebærer uforholdsmessig innsats. Vi vil informere deg om disse mottakerne på forespørsel fra deg.

8.3 Rett til sletting (rett til å bli glemt)

Du har rett til å få dine personopplysninger slettet av oss uten unødig forsinkelse der en av følgende grunner gjelder:

  • personopplysningene ikke lenger er nødvendige i forhold til formålene de ble samlet inn eller på annen måte behandlet for;
  • du trekker tilbake samtykket som behandlingen er basert på, og det ikke er noe annet juridisk grunnlag for behandlingen;
  • du protesterer mot behandlingen og det ikke er noen overstyrende legitime grunner for behandlingen;
  • du protesterer mot behandlingen av dine personopplysninger for direkte markedsføring;
  • dine personopplysninger har blitt ulovlig behandlet; eller
  • Personopplysningene må slettes for å overholde en juridisk forpliktelse som vi er underlagt.

Vær oppmerksom på at GDPR anerkjenner situasjoner der behandling kan være nødvendig uavhengig av anvendeligheten av de ovennevnte grunnlagene. Vi vil alltid informere deg separat om slike omstendigheter og vårt grunnlag for behandling.

Vi vil kommunisere enhver sletting av dine personopplysninger til hver mottaker som vi har utlevert dine personopplysninger til, med mindre dette viser seg å være umulig eller innebærer uforholdsmessig innsats. Vi vil informere deg om disse mottakerne på forespørsel fra deg.

8.4 Rett til begrensning av behandling

Du har rett til å begrense behandlingen av dataene dine i følgende situasjoner:

  • du bestrider nøyaktigheten av personopplysningene vi behandler, og som et resultat er behandlingen begrenset mens nøyaktigheten er verifisert;
  • behandlingen er ulovlig, men du motsetter deg sletting av personopplysningene og ber oss i stedet om å begrense bruken av dem;
  • Vi trenger ikke lenger personopplysningene for behandlingen som er presentert i dette dokumentet, men dataene kreves av deg for å etablere, utøve eller forsvare juridiske krav; eller
  • du har protestert mot behandling av grunner knyttet til din spesielle situasjon, og slik behandling er juridisk basert på våre legitime interesser som presentert i dette dokumentet, og som et resultat er behandlingen begrenset mens det verifiseres om våre legitime grunner overstyrer dine.

Hvis behandlingen din har blitt begrenset, vil vi informere deg før restriksjonen oppheves.

Vi vil kommunisere enhver begrensning av behandlingen til hver mottaker som vi har utlevert din personlige informasjon til, med mindre dette viser seg å være umulig eller innebærer uforholdsmessig innsats. Vi vil informere deg om disse mottakerne på forespørsel fra deg.

8.5 Rett til dataportabilitet

Du har rett til å motta dine personopplysninger som du har gitt oss, i et strukturert, vanlig brukt og maskinlesbart format (for eksempel XML-format med relevante metadata), og du har rett til å overføre slike data til en annen behandlingsansvarlig, når:

  • vi behandler dine personopplysninger basert på ditt samtykke; eller
  • vi behandler dine personopplysninger fordi det er nødvendig for utførelsen av kontrakten vår med deg; og
  • vi behandler slike personopplysninger på automatiserte måter; og
  • Denne retten påvirker ikke andres rettigheter og friheter negativt.

I den ovennevnte situasjonen har du også rett til å få dine personopplysninger overført direkte fra oss til en annen behandlingsansvarlig, der det er teknisk mulig.

8.6 Rett til å protestere

Du har rett til å protestere mot behandling av dine personopplysninger når som helst av grunner knyttet til din spesielle situasjon, hvis vi behandler dine personopplysninger basert på våre legitime interesser som presentert i dette dokumentet. Etter en slik innsigelse vil vi ikke lenger behandle dine personopplysninger med mindre vi viser overbevisende legitime grunner for behandlingen og disse grunnene overstyrer dine interesser, rettigheter og friheter, eller med mindre vi trenger dem for å etablere, utøve eller forsvare juridiske krav.

Hvis personopplysningene dine behandles for direkte markedsføringsformål, har du imidlertid rett til å protestere mot slik behandling når som helst. Hvis du motsetter deg direkte markedsføring, vil dine personopplysninger ikke lenger bli brukt til slike formål.

Hvis du er forbruker, vil vi bare sende deg elektronisk direkte markedsføring, for eksempel nyhetsbrev på e-post, hvis du har gitt oss ditt samtykke til å gjøre det (dvs. du har valgt å motta slik markedsføring). Du kan når som helst trekke tilbake samtykket ditt som forklart nedenfor, hvoretter vi ikke lenger vil behandle dine personopplysninger for elektronisk direkte markedsføringsformål.

8.7 Rett til å trekke tilbake samtykket ditt

Hvis vi behandler dine personopplysninger basert på ditt samtykke, har du rett til å trekke tilbake et slikt samtykke når som helst. Når vi har mottatt varsel om at du har trukket tilbake samtykket ditt, vil vi ikke lenger behandle informasjonen din for det eller de formålene du opprinnelig samtykket til, med mindre vi har et annet legitimt grunnlag for å gjøre det.

8.8 Rett til å klage

Du har rett til å sende inn en klage til en tilsynsmyndighet i tilfelle vi ikke overholder gjeldende databeskyttelseslovgivning. Den finske tilsynsmyndigheten er dataombudsmannen (Fin: tietosuojavaltuutettu).

9 Hvordan kontakte oss

Vi hjelper deg gjerne i tilfelle du har spørsmål eller bekymringer om behandlingen av dine personopplysninger eller utøvelsen av dine rettigheter. For at vi skal kunne gi deg tilstrekkelig informasjon og pragmatiske råd, ber vi deg om å sende dine spørsmål eller kommentarer skriftlig til kontaktpersonen privacy@ensto.com

Vi må kanskje be om spesifikk informasjon fra deg for å hjelpe oss med å bekrefte identiteten din. Dette er et sikkerhetstiltak for å sikre at personlig informasjon ikke utleveres til noen som ikke har rett til å motta den.