Personvernerklæring

1. Innledning

Denne personvernerklæringen forklarer hvordan og når vi samler inn, bruker og deler informasjon om deg, og hvilket juridisk behandlingsgrunnlag som ligger til grunn for behandlingen.

Behandlingsansvar

Ahead Group Norway AS (org.nr. 921 186 207) består av samlokaliserte byråer: Oculos AS, 11:11 (Elleve Elleve AS), Bloom Oslo AS, Ahead Group Consulting og WergelandApenes AS. Disse selskapene opererer under et felles personvernrammeverk med delte kontrollaktiviteter og prosedyrer. Behandlingsansvar varierer avhengig av kontekst og behandlingsformål. Der selskapene samarbeider om tjenester eller infrastruktur, utøves behandlingsansvar i fellesskap eller på vegne av hverandre i henhold til etablerte interne retningslinjer.

Oculos AS (org.nr. 984 459 564) er behandlingsansvarlig for behandling av brukerinformasjon i teknologitjenestene Trigg og Oculos Dialog.

Vi behandler i hovedsak opplysninger om deg i følgende tilfeller:

• Du har sendt oss en henvendelse
• Du representerer en av våre kunder
• Du har meldt deg på eller deltatt på et av våre arrangementer
• Du deltar i våre konkurranser
• Du abonnerer på vårt nyhetsbrev
• Du har søkt jobb hos oss
• Du har kontaktet en av våre ansatte per e-post eller har en forretningsforbindelse med Oculos
• Du er partner eller leverandør
• Du besøker våre nettsider
• Du bruker våre teknologi-tjenester (Trigg og Oculos Dialog)

Vi kan også motta opplysninger om deg fra andre i følgende tilfeller:

• Vi leverer tjenester til en av våre kunder der dine persondata er registrert
• Vi bistår våre kunder med rådgivning eller vurderinger av deres innhentede persondata
• Når vi samarbeider med partnere i felles prosjekter, der vi har delt behandlingsansvar, eller er databehandler

Vi bruker hovedsakelig persondata i følgende sammenhenger:

• Direkte markedsføring
• Profilering og analyse
• Digital annonsering med personkobling
• Digital annonsering og 3.partsverktøy
• Håndtering og kommunikasjon rundt våre arrangementer
• Kundeoppfølging og salgssammenheng
• Forhindre misbruk av tjenestene våre
• Vask av data
• Der det er nødvendig når det gjelder inngåtte avtaler

2. Samling av personopplysninger, formål og grunnlag

Du har sendt oss en henvendelse

Henvendelser gjennom våre nettsider eller til en av våre kunderepresentanter kan resultere i opprettelse av et kontaktkort for å følge opp din prosess og virksomhet i den relevante perioden. Hvis forholdet ikke utvikler seg til et kundeforhold, vil vi slette disse dataene etter rimelig tid i samsvar med Ahead Groups instrukser for lagring og sletting av personopplysninger.

Informasjon vi samler inn: Navn, telefonnummer, e-postadresse, stillingstittel og arbeidsgiver.

Formål: Dialog basert på din henvendelse.

Rettslig grunnlag: GDPR Artikkel 6 1 f). Behandlingen er nødvendig for å gjøre tiltak på den registrertes anmodning.

Du representerer en av våre kunder

Hvis du representerer en av våre kunder, lagrer vi data om deg i forbindelse med kundeforholdet. Grunnlaget for denne behandlingen er din rolle hos din arbeidsgiver og avtalen mellom selskapene.

Informasjon vi samler inn: Navn, telefonnummer, e-postadresse, stillingstittel, rolle og arbeidsgiver.

Formål: Ordrebehandling, levering, fakturering og kundeservice.

Rettslig grunnlag: GDPR Artikkel 6 1 b). Oppfyllelse av avtale du er del i.

Du har meldt deg på eller deltatt på et av våre arrangementer eller konkurranser

Når du deltar i våre arrangementer eller konkurranser, behandler vi informasjon du oppgir for å administrere din deltakelse. Informasjon om allergier håndteres konfidensielt og slettes kort tid etter arrangementet. Hvis vi deler deltakerlister med medarrangører, informerer vi deg om dette og dets formål i registreringen.

Informasjon vi samler inn: Navn, telefonnummer, e-postadresse, stillingstittel, arbeidsgiver, matpreferanser, allergier og andre hensyn du spesifiserer.

Formål: Gjennomføring av arrangementer og oppfølgingskontakt.

Rettslig grunnlag: GDPR Artikkel 6 1 b). I tilfeller vi deler kundedata med medarrangører med formål å kontakte deg i ettertid vil det være samtykke; GDPR Artikkel 6 1 a).

Du abonnerer på vårt nyhetsbrev

Hvis du abonnerer på våre nyhetsbrev, lagrer vi informasjon for å sende deg nyhetsbrev og spore hvordan du samhandler med dem. Dette inkluderer hvilke lenker du klikker på og om du åpner nyhetsbrevet.

Rettslig grunnlag: GDPR Artikkel 6 nr. 1 bokstav a).

Du har søkt jobb hos oss

Vi behandler jobbsøknader primært gjennom rekrutteringsbyråer og deres portaler, som vil være behandlingsansvarlig. I tilfeller der vi likevel mottar jobbsøknader via e-post, slettes disse fra e-postsystemet og lagres midlertidig i SharePoint så lenge det er relevant og i samsvar med Ahead Groups instrukser for lagring og sletting av personopplysninger, med tilgang kun for de det er naturlig for, og med søkerens samtykke.

Rettslig grunnlag: GDPR Artikkel 6 nr. 1 bokstav f).

Bloom behandler jobbsøknader til Bloom Activation gjennom TeamTailor-portalen.

Du har kontaktet en av våre ansatte per e-post

Vi bruker e-post for å utføre våre arbeidsoppgaver. E-post vi har mottatt bør slettes når det ikke lenger er nødvendig å lagre. I praksis betyr dette at slik e-post typisk ikke bør lagres lenger enn omtrent ett år uten grunn. Grunnlag for lengre lagring kan inkludere salgsprosesser, eksisterende kunde- eller partnerforhold, eller andre saker som er relevante for vårt daglige arbeid.

Vi ber om at personlig informasjon ikke sendes ukryptert via e-post til oss utover den personlige informasjonen som naturlig sendes i klartekst ved sending av e-post. Vi tillater ikke mottak av store mengder data gjennom ukrypterte løsninger som e-post. Kontakt din kontaktperson hvis du trenger å sende store mengder persondata til oss.

Vi skanner all innkommende og utgående e-post for virus og skadelig programvare for å sikre integritet, konfidensialitet og tilgjengelighet av våre systemer som behandler personopplysninger.

Rettslig grunnlag: Situasjonsavhengig avhengig av kontekst og formål.

Du er partner eller leverandør

Vår instruks er å samle inn og behandle kun strengt nødvendige personopplysninger for formålet.

Informasjon vi samler inn: Navn, stillingstittel, arbeidsadresse, e-postadresse og telefonnummer. Finansiell informasjon kan også være nødvendig for transaksjoner og regnskap.

Rettslig grunnlag: GDPR Artikkel 6 1 b), c) eller f) avhengig av kontekst og formål.

Du har tidligere vært kunde eller leverandør hos oss

Data som er relevant for tidligere kundeforhold lagres i den perioden som enten er påkrevd ved lov angående regnskap eller regulert av avtaler mellom selskaper som har inngått avtaler med oss. I den grad dokumentasjon er nødvendig etter et avsluttet kundeforhold, beholder vi disse dataene. Dette gjelder også for partnerskap eller leverandørforhold.

Rettslig grunnlag: GDPR Artikkel 6 1 f) og hvis lovkrav; c).

Du besøker våre nettsider

Vi samler inn informasjon om hvordan våre nettsider brukes for å forstå trafikkmønstre og forbedre brukeropplevelsen. Dette inkluderer hvilke sider som besøkes, besøkstidspunkt og generell teknisk informasjon om nettleser og enhet. Vi bruker analyseverktøy som ikke lagrer eller leser data fra enheten din med mindre du har gitt samtykke. Der det er mulig, bruker vi teknikker som IP-adresseanonymisering og dataaggregering for å redusere personvernpåvirkningen.

Bruk av informasjonskapsler og analyseverktøy er også regulert av ehandelsloven. Dette betyr at vi kun setter informasjonskapsler eller lignende teknologi for analytiske formål hvis du har gitt samtykke, med mindre det er teknisk nødvendig funksjonalitet.

Noen av våre nettsider bruker informasjonskapsler for å forbedre din brukeropplevelse og samle data om hvordan du samhandler med nettstedet vårt. Informasjonskapsler er små tekstfiler som lagres på enheten din når du besøker nettstedet vårt, og de hjelper oss å huske dine preferanser og tidligere handlinger. Du kan velge å deaktivere informasjonskapsler når som helst gjennom innstillinger i nettleseren din. Vær imidlertid oppmerksom på at dette kan påvirke nettsidens funksjonalitet.

Informasjonskapslene vi bruker kan kategoriseres som følger:

• Nødvendige/Tekniske informasjonskapsler: Disse er essensielle for at du skal kunne navigere på nettstedet og bruke dets funksjoner, som å logge inn eller huske hva som er i handlekurven din.
• Funksjonelle informasjonskapsler: Disse forbedrer brukeropplevelsen ved å huske innstillinger og valg, som språkpreferanser eller grensesnittilpasninger.
• Analyseinformasjonskapsler: Disse hjelper oss å forstå og forbedre nettstedet vårt ved å samle informasjon om hvordan besøkende bruker det. Ditt samtykke til disse innhentes gjennom en samtykke-popup.
• Annonserings- og tredjeparts informasjonskapsler: Disse brukes til målrettet annonsering, for å dele informasjon med tredjeparter for å optimalisere annonser, og for å gjøre analyser. Disse tredjepartene er Google, Facebook og LinkedIn. Ditt samtykke til disse innhentes gjennom en samtykke-popup.

Samtykke til bruk av informasjonskapsler kan du når som helst trekke tilbake. Vi er forpliktet til å respektere dine valg og beskytte din personlige informasjon i henhold til gjeldende personvernlover.

Rettslig grunnlag: GDPR Artikkel 6 1 f) for nødvendige informasjonskapsler og for analyse-, annonserings- og tredjepartsinformasjonskapsler er det Artikkel 6 1 a).

Skjema og påmeldingsløsninger

På våre nettsider er det mulig å bruke ulike registreringsskjemaer enten knyttet til arrangementer, bestille tjenester eller bli kontaktet. Hvis du oppgir data her, vil vi behandle personopplysninger om deg i den grad det er nødvendig for de nevnte behovene. Vi behandler dataene du oppgir i skjemaer. I tillegg gir en av våre skjemaløsninger også posisjons- og opprinnelsesdata. Dette er imidlertid data vi ikke lagrer og behandler.

Rettslig grunnlag: GDPR Artikkel 6 1 b).

Du bruker teknologi-tjenestene Trigg eller Oculos Dialog

Trigg

Trigg Loyalty mottar og behandler data på vegne av våre brukere og fungerer som en mellommann for å legge til rette for bonuser, kampanjer og kuponger. Oculos AS er ansvarlig for Trigg og er databehandler på vegne av Trigg-leverandører og -brukere. Brukere er behandlingsansvarlige. Typer data som behandles er transaksjonsdata og kundeidentifikator.

Oculos er behandlingsansvarlig for brukerinformasjon. Brukerinformasjon brukes ikke til noe annet formål. Brukerinformasjon er navn, mobilnummer, e-postadresse og rolle. Hvis du registrerer deg i vårt demo-kontaktskjema, vil vi kun bruke denne informasjonen til å kontakte deg.

Rettslig grunnlag: GDPR Artikkel 6 1 b).

Oculos Dialog

Oculos Dialog er en CRM- og markedsføringsautomatiseringsplattform der vi behandler data på vegne av våre kunder med kundeprofiler og tilhørende data, segmenteringsverktøy, oppsett og sending av e-post- og SMS-kampanjer og automatiseringer. Oculos AS er ansvarlig for Oculos Dialog og er databehandler på vegne av Oculos Dialog-leverandører og -brukere. Brukere er behandlingsansvarlige.

Oculos er behandlingsansvarlig for brukerinformasjon. Brukerinformasjon er navn, mobilnummer, e-postadresse og rolle. Brukerinformasjon brukes ikke til noe annet formål.

Rettslig grunnlag: GDPR Artikkel 6 1 b).

Datasikkerhet

For å sikre data på våre lojalitetsplattformer implementerer vi flere viktige sikkerhetstiltak: Først og fremst krever tilgang til vårt system spesifikke API-nøkler. Dette betyr at kun godkjente enheter og tjenester som har blitt tildelt en unik nøkkel kan koble til våre servere. I tillegg praktiserer vi streng IP-adresse-hvitelisting. Dette betyr at kun forhåndsgodkjente IP-adresser får tilgang til våre systemer, noe som betydelig reduserer risikoen for uautorisert tilgang og sikkerhetsbrudd. Disse tiltakene er i tråd med ISO 29001-standarder, og gjenspeiler vårt engasjement for å opprettholde det høyeste nivået av datasikkerhet.

3. Bruk av personopplysninger til markedsføring og personalisering

Direkte markedsføring

Hvis du er kunde hos oss, kan vi sende deg nyhetsbrev basert på kundeforholdet. Hvis du ikke er kunde, sender vi nyhetsbrev og annen digital kommunikasjon basert på dine innhentede samtykker.

Formål: Å informere deg om våre tjenester og faglige råd og tips.

Rettslig grunnlag: GDPR Artikkel 6 1 f) iht markedsføringsloven 15 (3) for kunder, a) for øvrige abonnenter.

Profilering og analyse

Vi ønsker i noen sammenhenger å tilby en mer personlig og tilpasset opplevelse innen markedsføring, kommunikasjon og våre tjenestetilbud. For å oppnå dette kan vi bruke informasjon som ditt navn, kontaktinformasjon, ditt kundeforhold hos oss, din bruk av våre tjenester og annen informasjon du har delt med oss. Denne praksisen, kjent som profilering, vil kun forekomme når det er rimelig å forvente. Vårt mål er å utføre grundig analyse og segmentering for å bedre forstå dine interesser og behov.

Rettslig grunnlag: GDPR Artikkel 6 nr. 1 f) for kunder og deltakere på våre arrangementer. For øvrige vil grunnlaget være GDPR Artikkel 6 nr. 1 a).

Du kan be om en begrensning av profilering basert på dine kundedata og reservere deg i situasjoner der det er mulig.

Digital annonsering med kundekobling

Noen av våre selskaper tilbyr digital annonsering basert på din CRM-profil hos oss. Hvis du har samtykket til digital annonsering, kan vi annonsere i digitale nettverk ved å utføre såkalt kundelistekobling med e-post og mobilnummer som eneste datapunkt. Hvis du senere velger å trekke tilbake ditt samtykke til digital annonsering, noterer vi at det kan være forsinkelser før endringen trer i kraft i våre nettverk.

Vi kan bruke lookalike-analyse for å identifisere potensielle nye kunder med lignende interesser og behov som våre eksisterende medlemmer. Formålet med behandlingen er å nå nye kunder og utvide vår kundebase, og grunnlaget for behandlingen er iht GDPR Artikkel 6 1 f) berettiget interesse.

For øyeblikket annonserer vi i følgende nettverk: Meta (Facebook) og LinkedIn.

Rettslig grunnlag: GDPR Artikkel 6 nr. 1 a).

Digital annonsering og tredjeparts verktøy

På noen av våre nettsider bruker vi verktøy for besøksanalyse og målrettet annonsering. Formålet er å forstå bruksmønstre, forbedre innhold og vise mer relevante annonser i digitale kanaler. Slike verktøy bruker informasjonskapsler og lignende teknologi, og behandling skjer kun der du har gitt gyldig samtykke, i samsvar med ehandelsloven og GDPR Artikkel 6 1 a).

Markedsundersøkelser, fokusgrupper og intervjuer

Vi gjennomfører markedsundersøkelser fra tid til annen for å få innsikt i brukeratferd, preferanser og behov. Dette kan ta form av spørreundersøkelser, intervjuer eller fokusgrupper – både på eget initiativ og på vegne av kunder vi bistår. Deltakelse er frivillig, og du vil motta tydelig informasjon om formål, databruk og grad av anonymitet før du eventuelt velger å delta.

Rettslig grunnlag: Når undersøkelsen innebærer behandling av personopplysninger, skjer dette på grunnlag av ditt samtykke (GDPR Artikkel 6 1 a)).

Hvis en undersøkelse ikke er fullstendig anonym og du ønsker å trekke tilbake svarene dine, kan du kontakte oss. Vi vil da gjøre det som er mulig for å slette eller anonymisere informasjonen din, med mindre dataene allerede er aggregert eller anonymisert.

4. Vask og beriking av kundedata

Vask av data

I samsvar med personvernforordningens artikkel 5 d) skal personopplysninger være korrekte og oppdaterte, og tiltak skal treffes for dette. Vi oppdaterer derfor våre kontaktdata i mottakerdatabaser fra tid til annen med informasjon tilgjengelig fra offentlige registre der gyldig behandlingsgrunnlag foreligger.

Rettslig grunnlag: GDPR Artikkel 6 nr. 1 bokstav f).

Beriking av data

Som utgangspunkt beriker vi ikke med annen informasjon enn det våre kunder selv har oppgitt. Men i tilfeller der vi mangler primære kontaktdata på kunder, kan vi berike kundeprofil med svært grunnleggende data; navn, mobilnummer og rolle hos kunde (daglig leder eller styreposisjon) med informasjon tilgjengelig fra offentlige registre.

Rettslig grunnlag: GDPR Artikkel 6 nr. 1 bokstav f).

5. Oppbevaring og lagring av personopplysninger

Våre systemer drives primært på servere innenfor EØS, men i noen tilfeller kan data behandles utenfor EØS, for eksempel under systemvedlikehold eller supporttjenester levert av våre eksterne leverandører.

Når vi behandler personopplysninger på vegne av våre kunder, skjer dette alltid i samsvar med en databehandleravtale mellom partene. I tilfeller der data behandles utenfor EØS, krever vi at databehandleren enten:

• Er sertifisert under EU-US Data Privacy Framework (DPF), eller
• Har inngått EU-kommisjonens standardkontrakter for overføring av personopplysninger (SCC-er) med nødvendige tilleggstiltak.

Vi vurderer regelmessig våre databehandlere og overføringsmekanismer for å sikre at informasjonen din behandles i samsvar med gjeldende personvernlovgivning.

Sletting

Vi lagrer ikke personopplysninger lenger enn nødvendig. Dette vurderes ut fra formålet med behandlingen, eventuelle lovpålagte krav og vår interne slettestrategi.

Ahead Group har etablert felles retningslinjer og prosedyrer for lagring og sletting av personopplysninger. Alle selskaper i konsernet er pålagt å overholde disse, og det gjennomføres regelmessige kontroller og stikkprøver for å sikre etterlevelse.

Hvis du vil ha mer informasjon om hvor lenge informasjonen din lagres i en bestemt sammenheng, kan du kontakte det aktuelle selskapet. Se kontaktinformasjon i seksjon 8.

6. Deling av personopplysninger

Vi deler ikke dine personopplysninger med andre med mindre det foreligger et lovlig grunnlag for slik deling. Der vi bruker databehandlere for å behandle personopplysninger på våre vegne, inngår vi nødvendige avtaler for å opprettholde informasjonssikkerhet gjennom hele behandlingskjeden. Hvis du vil ha mer informasjon om hvilke systemer som brukes i et bestemt selskap eller kontekst, kan du kontakte det aktuelle selskapet direkte. Kontaktinformasjon finnes i seksjon 8.

7. Dine rettigheter

Du har følgende rettigheter i henhold til GDPR:

• Innsyn (Art. 15): Du kan be om en kopi av personopplysningene vi behandler om deg.
• Retting (Art. 16): Du kan be oss korrigere feilaktige eller ufullstendige opplysninger.
• Sletting (Art. 17): Du kan be om sletting av personopplysninger som ikke lenger er nødvendige.
• Begrensning av behandling (Art. 18): Du kan be oss begrense behandlingen av dine opplysninger i visse situasjoner.
• Dataportabilitet (Art. 20): Du kan be om å få utlevert personopplysninger du har gitt oss, i et strukturert, maskinlesbart format.
• Protestere mot behandling (Art. 21): Du kan protestere mot behandling basert på berettiget interesse eller direkte markedsføring.
• Automatiserte avgjørelser og profilering (Art. 22): Du har rett til å ikke være underlagt en avgjørelse som kun er basert på automatisert behandling, dersom denne har rettslige eller vesentlige konsekvenser for deg.

8. Kontakt oss

Hvis du har spørsmål om denne personvernerklæringen, kan du kontakte personvernansvarlig i Ahead Group Norway, Jørn Eriksson, på jorn.eriksson@oculos.no.

Du kan også bruke kontaktinformasjonen som er oppgitt på de ulike selskapenes kontaktsider.

Hvis din henvendelse gjelder behandling vi gjør på vegne av våre mange kunder, ber vi deg kontakte dem først, og de vil deretter kontakte oss i samsvar med våre avtaler. Dette sikrer at din henvendelse håndteres så raskt som mulig.