IDkollens Integritetspolicy

1. Innledning
2. Hva er en personopplysning, og hva innebærer det å behandle personopplysninger?
3. Hvem gjelder denne personvernerklæringen for?
4. Hva gjelder denne personvernerklæringen for?
5. Hva innebærer det å være behandlingsansvarlig?
6. IDkollen som behandlingsansvarlig
7. Hvorfor må vi behandle personopplysninger?
8. Hvilke personopplysninger samler vi inn?
9. Hvilke personopplysninger håndteres ved betaling?
10. Til hvilke formål behandler vi personopplysninger?
11. Hvor lenge oppbevarer vi personopplysninger?
12. Tiltakene våre for å beskytte personopplysningene dine
13. Når deler vi personopplysninger?
14. Dine rettigheter
15. Endringer i denne personvernerklæringen
16. Kontakt

Takk for at du valgte IDkollen, og ikke minst for at du tar deg tid til å lese grundig gjennom denne personvernerklæringen. Vi begynner med et kort sammendrag, der vi forklarer hvorfor vi har laget denne erklæringen. Slik ønsker vi, på en tydelig og lettlest måte,

• å forklare hvilken rolle du og vi har i denne sammenhengen
• å forklare hvordan vi bruker opplysningene du deler med oss, for å kunne levere og videreutvikle Norges beste tjeneste for legitimering på nettet
• å forsikre oss om at du forstår hvilken informasjon vi samler inn, og hva vi gjør med den
• å vise hvordan vi arbeider for å beskytte rettighetene dine og personvernet ditt

Målet er at du, etter å ha lest denne personvernerklæringen, skal føle deg trygg på at personvernet ditt blir respektert, og at personopplysningene dine blir behandlet korrekt. Derfor arbeider vi hele tiden med å sikre at vår behandling av personopplysninger skjer i samsvar med gjeldende lov og Personvernforordningen (GDPR) som trådte i kraft 25. mai 2018.

2.1 Personopplysninger er all informasjon som direkte, eller indirekte sammen med andre opplysninger, kan kobles til en levende fysisk person. Følgende liste er eksempler på personopplysninger:

• navn
• personnummer
• e-postadresse
• kredittkortnummer
• IP-adresse
• bilder
• brukerdata

2.2 Behandling av personopplysninger inkluderer all håndtering av personopplysningene, enten den skjer automatisert eller ikke. Dette omfatter blant annet:

• innsamling
• registrering
• bruk
• sammenstilling
• overføring
• sletting

Denne personvernerklæringen er i første rekke ment for enkeltpersoner som bruker tjenestene våre («den registrerte»). Forskjellige deler av denne personvernerklæringen kan også være relevante for deg avhengig av relasjonen din til IDkollen, for eksempel dersom du besøker hjemmesiden vår eller er forhandler av tjenestene våre. Ved å godkjenne denne personvernerklæringen samtykker du til at IDkollen kan behandle personopplysningene dine i henhold til personvernerklæringen.

Denne personvernerklæringen regulerer hvordan IDkollen samler inn og behandler personopplysninger for å kunne levere og videreutvikle tjenestene våre.

Behandlingsansvarlig er en fysisk eller juridisk person eller ethvert annet organ som bestemmer formålet med og midlene for behandlingen av personopplysninger. En bedrift er behandlingsansvarlig med hensyn til personopplysninger den besitter på egne vegne om sine ansatte, kunder, leverandører og andre.

IDkollen AB (svensk org.nr. 559000-0948) er behandlingsansvarlig for den behandlingen av personopplysningene dine som skjer innenfor rammen for IDkollens tjenester, og er ansvarlig for at slik behandling skjer i henhold til gjeldende lov.

7.1 For at det skal være tillatt å behandle personopplysninger, må det foreligge et såkalt rettslig grunnlag for behandlingen, det vil si at behandlingen skal være berettiget i henhold til GDPR. Et slikt rettslig grunnlag kan være blant annet

• samtykke fra den registrerte
• at behandlingen av personopplysningen er nødvendig for å oppfylle en avtale med den registrerte, for eksempel en avtale om bruk av tjenestene
• å oppfylle en rettslig plikt, for eksempel angående lagring av opplysninger pga. regnskapsplikt
• at det etter en interesseavveining avgjøres at IDkollens interesse av å behandle en personopplysning, veier tyngre enn den registrertes interesse

7.2 IDkollen behandler alltid personopplysningene dine i henhold til gjeldende lov. Den viktigste grunnen til at vi behandler personopplysningene dine er at det er nødvendig for å oppfylle vår avtale med deg angående bruk av tjenestene våre.

7.3 Det finnes også situasjoner der vi har en berettiget interesse av å behandle personopplysningene dine, for eksempel en interesse i å markedsføre oss mot besøkende i de digitale kanalene våre eller en interesse i å utvikle tjenestene våre. Hvis vi hos IDkollen vil behandle personopplysningene dine til andre formål som i henhold til gjeldende lov forutsetter ditt samtykke, kommer vi til å be om slikt samtykke på forhånd.

7.4 I enkelte tilfeller kan behandlingen av en personopplysning være begrunnet både av hensynet til oppfyllelse av en avtale, et avgitt samtykke og at opplysningen er nødvendig for å oppfylle andre rettslige forpliktelser. Dette innebærer at selv om du trekker tilbake samtykket ditt, og behandlingen som hadde dette samtykket som grunnlag opphører, kan vi likevel bruke personopplysningen til andre formål. I all hovedsak behandler vi likevel opplysningene dine bare for å oppfylle en avtale som du er part i.

8.1 Når du besøker IDkollens nettsted og kommuniserer med oss i de digitale kanalene våre, kan vi samle inn opplysninger om deg som for eksempel navn, adresse, brukernavn, postadresse, e-postadresse, telefonnummer, informasjon om din bruk av tjenestene våre samt tilhørende transaksjonshistorikk. I forbindelse med bruk av BankID behandles også personnummer.

8.2 IDkollen samler også inn informasjon om din bruk av tjenestene våre. Slik informasjon omfatter for eksempel

• din abonnementstype og samhandling med tjenestene og de tilhørende applikasjonene, f.eks. BankID
• tekniske data som URL-adresser, opplysninger fra informasjonskapsler, IP-adressen din, nettverksdata samt hva slags enheter du bruker for å få tilgang til tjenestene våre

9.1 Hvis du registrerer deg på nettstedet vårt (i henhold til definisjonen i brukervilkårene), kjøper et av abonnementene våre (i henhold til definisjonen i brukervilkårene) eller gjør andre kjøp via tjenestene, kan vi og/eller de tjenesteleverandørene for betalingsløsninger som vi samarbeider med, samle inn og lagre kreditt- eller debetkortopplysningene dine (f.eks. type kort og utløpsdato) samt andre opplysninger som vi trenger for å behandle betalingen din. Dessuten kan tjenesteleverandørene for betalingsløsninger gi oss annen begrenset informasjon om deg og betalingskortet ditt, blant annet kortets type og utløpsdato samt visse siffer i kortnummeret. Tjenesteleverandørene kan i denne sammenhengen også levere et såkalt tilgangstoken, som gjør at du kan gjennomføre ytterligere kjøp med den informasjonen de har lagret.

9.2 Hvis du velger å betale mot faktura, kan IDkollen samle inn og lagre ytterligere informasjon som navn, fødselsdato og telefonnummer, og dele den med tjenesteleverandører for betalingsløsninger som vi samarbeider med, slik at de kan sjekke kredittverdighet samt utstede og sende deg fakturaer.

Personopplysningene dine som samles inn i forbindelse med at du bruker IDkollens tjenester, blir behandlet av IDkollen eller våre samarbeidspartnere, til følgende formål:

• for å tilby, persontilpasse og forbedre opplevelsen din av tjenestene samt administrere avtalen vår med deg
• for at vi skal kunne kommunisere med deg, f.eks. i forbindelse med kundepleie og kundebehandling per telefon, e-post og varsler samt via kontoene våre i sosiale medier
• til markedsføringsformål, blant annet for markedsføring per e-post, som du selvfølgelig kan reservere deg mot via en lenke i hver utsendelse
• for å behandle betalingene dine samt forebygge eller avsløre svindel
• for å føre statistikk over bruk av de digitale kanalene og tjenestene våre
• for å vedlikeholde, utvikle, prøve ut og forbedre de digitale kanalene våre og de tekniske plattformene som de leveres på

11.1 Personopplysningene dine oppbevares bare så lenge det er nødvendig for å oppfylle de formålene som opplysningene ble samlet inn for i samsvar med denne personvernerklæringen. IDkollen kan oppbevare opplysningene i en lengre periode dersom det er nødvendig for å overholde lovkrav eller ivareta IDkollens rettslige interesser, for eksempel hvis det pågår en juridisk prosess.

11.2 IDkollen lagrer ikke opplysninger om den registrerte i mer enn 24 måneder etter at personen sist gjennomførte et kjøp eller på annen måte samhandlet med IDkollen.

12.1 Vi hos IDkollen har sørget for å iverksette egnede tekniske og organisatoriske tiltak for å beskytte personopplysningene dine mot blant annet tap, misbruk og ulovlig tilgang.

12.2 For på en teknisk måte å sikre at personopplysningene behandles på en sikker og konfidensiell måte, bruker vi digitale nettverk som er beskyttet ved hjelp av for eksempel kryptering, brannmurer og passord. Videre er det utviklet systemer for å behandle og, om nødvendig, ved hjelp av tilgangskontroll begrense tilgang til diverse personopplysninger basert på opplysningenes art og sensitivitet. IDkollen har utviklet gode rutiner for identifisering, skadebegrensning og rapportering i tilfelle datainnbrudd. IDkollen har også utarbeidet en velfungerende metode for å ivareta den registrertes rettigheter, blant annet retten til å bli glemt.

12.3 Organisatorisk har IDkollen sørget for at samtlige ansatte, konsulenter samt leverandører som IDkollen bruker for å tilby tjenestene, er bundet av en konfidensialitetsavtale og må følge IDkollens regler for informasjons- og IT-sikkerhet samt denne personvernerklæringen. For å sikre et godt kunnskapsnivå angående behandling av personopplysninger arrangeres løpende opplæring, både for IDkollens ansatte og konsulentene som fra tid til annen engasjeres for å utføre oppdrag for selskapet.

13.1 IDkollen kommer ikke til å selge, distribuere eller overføre personopplysninger til tredjepart, med unntak av det som fremgår av denne personvernerklæringen. Innenfor rammen av tjenestene kan personopplysninger overføres til for eksempel underleverandører og samarbeidspartnere, hvis det er nødvendig for å utføre og levere tjenestene. I de tilfellene vi deler personopplysninger, inngår vi en såkalt databehandleravtale for å forsikre oss om at mottakeren av personopplysningene behandler dem i henhold til gjeldende lov og har iverksatt nødvendige tekniske og organisatoriske tiltak i samsvar med GDPR for å beskytte den registrertes rettigheter og friheter på en tilfredsstillende måte.

13.2 Vi kan også utlevere personopplysninger dersom vi er pålagt det i henhold til gjeldende lover eller domstolsbeslutninger, eller dersom det på annen måte er nødvendig for å delta i en rettslig granskning.

14.1 IDkollen er ansvarlig for å behandle personopplysningene dine i henhold til gjeldende lov.

14.2 IDkollen kommer på din henvendelse eller eget initiativ til å rette, avidentifisere, slette eller komplettere opplysninger som viser seg å være feilaktige, ufullstendige eller misvisende.

14.3 Du har rett til å be om innsyn i personopplysningene dine. Det innebærer at du har rett til å be om en oversikt over vår behandling av personopplysningene dine. Du har også rett til å få en kopi av personopplysningene som behandles. En gang per kalenderår har du rett til, etter skriftlig undertegnet søknad, å motta en kostnadsfri oversikt over hvilke personopplysninger som er registrerte om deg, formålet med behandlingen av dem og til hvilke mottakere opplysningene er overført eller skal overføres. Du har også rett til å få informasjon om hvor lenge opplysningene er tenkt oppbevart, eller kriteriene som brukes for å fastsette en slik periode.

14.4 Du har rett til å få personopplysningene dine rettet. På din forespørsel vil vi så raskt som mulig rette feilaktige eller ufullstendige opplysninger om deg som vi behandler.

14.5 Du har rett til å få personopplysningene dine slettet. Det innebærer at du har rett til å kreve at personopplysningene dine blir slettet, dersom de ikke lenger er nødvendige for det formålet de ble samlet inn for. Det kan imidlertid foreligge lovkrav som gjør at vi ikke kan slette personopplysningene dine umiddelbart, for eksempel i regnskaps- og skattelover. I slike tilfeller kommer vi til å avslutte behandlingen for andre formål enn å følge loven.

14.6 Du har rett til å protestere mot behandling av personopplysninger som begrunnes med en interesseavveining. Hvis du protesterer mot en slik behandling, kommer vi til å avslutte behandlingen, med mindre det foreligger en berettiget interesse som veier tyngre enn dine interesser.

14.7 Hvis du ikke ønsker at vi skal bruke personopplysningene dine til direkte markedsføring, har du alltid rett til å protestere mot en slik behandling ved å reservere deg mot mottak via en lenke vi legger ved i hver enkelt e-post, eller ved å sende en e-post til support@idkollen.se. Ved mottak av en slik henvendelse fra deg slutter vi å behandle personopplysningene til slike markedsføringsformål.

IDkollen forbeholder seg retten til å revidere denne personvernerklæringen fra tid til annen. Dato for siste endring er angitt til slutt i dokumentet. Hvis vi gjør endringer i personvernerklæringen, publiserer vi dem på nettstedet. Vi anbefaler derfor at du leser gjennom denne personvernerklæringen regelmessig, for å bli oppmerksom på eventuelle endringer. Dersom vi endrer personvernerklæringen slik at den nye versjonen i vesentlig grad skiller seg fra ordlyden da du ga samtykket ditt, kommer vi til å informere deg om disse endringene og om nødvendig be deg om et nytt samtykke til behandling av personopplysninger.

Ta gjerne kontakt dersom du har spørsmål om denne personvernerklæringen eller behandlingen av personopplysningene dine, eller hvis du ønsker innsyn i opplysningene. Du finner kontaktinformasjonen vår nedenfor.

IDkollen AB Box 55693
102 15 Stockholm
info@idkollen.se