Personvernerklæring Byggmakker Handel AS

Denne personvernerklæringen omfatter behandling av personopplysninger knyttet til Byggmakker Handel AS og de til enhver tid tilhørende datterselskapene.

All behandling av personopplysninger er regulert i EUs personvernregelverk, General Data Protection Regulation (GDPR) som er implementert i alle EØS-land.  

«Personopplysninger» er opplysninger og vurderinger som kan knyttes til eller identifisere en fysisk person, f.eks. navn, telefonnummer, bostedsadresse og epostadresse, IP adresse, bilder eller et identifikasjonsnummer.  

Lovgivningen stiller strenge krav til behandlingen av personopplysninger. For å kunne behandle personopplysninger, kreves blant annet et klart definert formål og ett rettslig grunnlag for behandlingen (som eksempel at behandlingen er nødvendig for å oppfylle en avtale med deg eller at du har samtykket til behandlingen). Det stilles også krav til konfidensialitet og sikkerhet, innebygd personvern, vurdering av personvernkonsekvenser og krav om at vi som selskap skal oppfylle dine rettigheter. 

I henhold til personvernregelverket er behandlingsansvarlig den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler vi skal bruke. I enkelte tilfeller kan man også ha felles behandlingsansvar der partene sammen bestemmer rammene for behandlingen. En databehandler er den som behandler personopplysningene på vegne av behandlingsansvarlig og da må det foreligge en avtale mellom partene om rammene for behandling. 

Datatilsynet fører tilsyn med GDPR og utfyllende nasjonale lover.  For mer informasjon om personvern, herunder ytterligere veiledning se Datatilsynets nettsider.  

2.1 Slik behandler vi personopplysningene dine

Byggmakker behandler personopplysninger som behandlingsansvarlig i ulike situasjoner. Dette finner du mer informasjon om i denne personvernerklæringen.

Det formelle ansvaret for behandlingen av personopplysningene ligger hos daglig leder i Byggmakker. Byggmakker har utpekt registereiere og databeskyttelseskoordinatorer for å bistå med å forvalte ansvaret. Byggmakker er et heleid datterselskap av det finske Kesko Oyj (samlet kalt Kesko). I Byggmakker er det utpekt en felles data protection officer (personvernombud) for Kesko Norge selskapene. Kontaktinformasjon finner du nederst i denne personvernerklæringen.

Vi samler inn og bruker personopplysninger til ulike formål og med ulike behandlingsgrunnlag, avhengig av hvilken relasjon du eller din bedrift har med oss, dine preferanser og eventuelle samtykker. Vi oppbevarer personopplysningene så lenge det er nødvendig for det lovlige formålet som personopplysningene samles inn for, hvoretter de slettes eller anonymiseres. Dette gir vi mer informasjon om i det følgende. Informasjonen får vi hovedsakelig fra deg eller gjennom offentlig tilgjengelig informasjon. Dersom vi deler informasjonen med andre har vi beskrevet det i forbindelse med den aktuelle behandlingen.

2.2 Generelle behandlingsaktiviteter

Besøkende

Besøkende i Byggmakker sine kontorlokaler blir bedt om å registrere sin ankomst med navn, kontaktinformasjon og eventuelt hvilket selskap de representerer. Denne informasjonen er viktig for å kunne ha kontroll på hvem som oppholder seg i våre lokaler til enhver tid, og det rettslige grunnlaget er vår berettigete interesse i å ha slik kontroll. Slik besøksinformasjon lagres for en begrenset periode, med mindre den besøkende samtykker til at informasjonen lagres i en lenger periode angitt i samtykket. Den aktuelle lagringstiden informeres ved hver enkelt lokasjon.

Deltagelse på kurs og aktiviteter

Byggmakker tilbyr en rekke kurs og aktiviteter, både på nett og fysisk tilstedeværelse, der vi behandler informasjon om deltakerne som navn, arbeidsgiver eller annen tilknytning til oss, tittel/rolle og kontaktinformasjon. Det rettslige grunnlaget for behandlingen er vår berettigete interesse i å administrere kurset eller aktivitetene, og for å dokumentere deltagelse.

For kunder behandles slik informasjon i tråd med ordinær kundebehandling. Dersom du ikke er kunde hos oss, slettes informasjonen ett år etter avholdelse med mindre du har avgitt samtykke til at vi kan beholde slik informasjon for fremtidige arrangementer. Da vil informasjonen bli lagret og eventuelt delt med andre, i tråd med det aktuelle samtykket.

Leverandører og samarbeidspartnere

Byggmakker har en rekke leverandører og samarbeidspartnere. For å kunne dokumentere, administrere og gjennomføre oppgaver i tilknytning til disse vil vi behandle personopplysninger som kontaktperson, kontaktinformasjon, tittel og rolle, samarbeidsdialog via ulike kanaler, samt eventuell påloggingsinformasjon til produkter og tjenester som inngår i relasjonen.  Det rettslige grunnlaget for behandlingen er å oppfylle vår avtale med leverandøren eller samarbeidspartneren, samt vår berettigede interesse i å administrere slike tredjeparter. Vi oppbevarer personopplysningene så lenge det er en aktiv relasjon med slik tredjepart, og inntil 3 år etter avsluttet relasjon for å kunne følge opp nødvendige forpliktelser eller rettigheter overfor den aktuelle tredjepart.

Kundeportal og e-post

Byggmakker benytter kundeportal, og e-post som en del av det daglige arbeidet og i alminnelig dialog med interne og eksterne kontakter.

Det rettslige grunnlaget for denne behandlingen er vår berettigete interesse, samt potensielle avtaleforpliktelser og rettslige forpliktelser.

Slik dialog lagres i våre systemer dersom det er nødvendig og relevant for eksempel for et kundeforhold eller annen nødvendig dokumentasjon. Slik informasjon slettes i henhold til sletterutinene for den aktuelle relasjonen (for eksempel kundeforholdet) eller det aktuelle dokumentasjonsbehovet.

Generelt om våre rettslige forpliktelser

Vi behandler personopplysninger for å oppfylle våre forpliktelser i henhold til lov, forskrifter eller myndighetsbeslutninger. Dette gjelder eksempelvis lagring av regnskapspliktig materiale i henhold til lokal lovgivning, for å etterkomme pålegg fra retten eller andre offentlige myndigheter.  Det rettslige grunnlaget for denne behandlingen er å oppfylle våre rettslige forpliktelser, og vi lagrer opplysningene i henhold til de aktuelle lovkrav.

Generelt om sikkerhet

Det er nødvendig for oss å behandle personopplysninger for å sikre dine og Byggmakker sine verdier. Dette gjøres for eksempel gjennom tilgangsstyring, logging på servere og systemer, drift av infrastruktur, brannmurer og adgangskontroll. Det rettslige grunnlaget for denne behandlingen er hovedsakelig å oppfylle våre rettslige forpliktelser. Behandlingsgrunnlaget kan også gjelde forpliktelser som er beskrevet i avtale med våre kunder, samt vår berettigede interesse i å ivareta dine og våre verdier. Lagringstiden vil være avhengig av formålet og det rettslige grunnlaget for behandlingen.

2.3 Særskilt om rekruttering

Byggmakker behandler personopplysninger i forbindelse med rekruttering hovedsakelig som såkalt behandlingsansvarlig eller felles behandlingsansvarlig.

Vi opptrer som behandlingsansvarlig når vi behandler personopplysninger som sendes til oss sammen med en søknad på stilling hos Byggmakker.

I enkelte tilfeller kan Byggmakker ha felles behandlingsansvar med tredjeparter, for eksempel rekrutteringsselskap, som sammen med Byggmakker bestemmer hvordan personopplysningene behandles. Ansvarsfordeling, formål med behandlingen og hjelpemidler som skal benyttes er da særskilt regulert i egen avtale om felles behandlingsansvar. 

Søknad på konkret stilling

Byggmakker behandler personopplysninger som er nødvendige for å vurdere om en søker er egnet til å fylle den stillingen som skal besettes. Hva som er nødvendig vil variere fra stilling til stilling. Det behandles personopplysninger som du selv avgir i forbindelse med rekrutteringsprosessen, herunder navn og kontaktopplysninger, opplysninger om utdannelse, arbeidserfaring og andre kvalifikasjoner, samt eventuelle bilder du deler. Dette baserer seg på vår berettiget interesse i å kunne vurdere din søknad og egnethet for stillingen.

For de som ansettes i Byggmakker vil noe av informasjonen fra rekrutteringen videreføres i våre systemer. Dette er typisk informasjon som du har gitt oss i din søknad og CV. Slik informasjon lagres under hele ansettelsesforholdet, og er beskrevet under.  

Behandlinger i forbindelse med rekrutteringsprosessen, som personlighets- og evnetester, uttalelser fra referanser, innstillinger og intervjunotater etc. slettes 12 måneder etter endt ansettelsesprosess. Eventuelle kredittsjekker og andre bakgrunnssjekker, herunder politiattest slettes etter gjennomført sjekk. Byggmakker vil imidlertid lagre nøytrale opplysninger om at slik sjekk er gjennomført under hele ansettelsesforholdet. 

2.4 Særskilt om digitale kanaler, kunder og markedsføring

Byggmakker behandler personopplysninger om kunder, potensielle kunder og besøkende på våre sosiale og digitale kanaler, hovedsakelig som såkalt behandlingsansvarlig. Dette gir vi mer informasjon om under.

Potensielle kunder

Besvare henvendelser: Før et kundeforhold er etablert, behandler vi personopplysninger som navn, arbeidsforhold, tittel/rolle og det du etterspør, for å kunne administrere henvendelser til oss. Vi vil behandle og dele personopplysninger internt, for å kunne besvare din henvendelse på best mulig måte. Denne behandlingen baserer vi på avtale om å besvare din henvendelse. Slik informasjon slettes fortløpende når henvendelsen er besvart tilfredsstillende.

Opprettelse av leads: Basert på vår berettigete interesse utarbeider vi også oversikt over potensielle kunder og kontaktpersoner basert på offentlig tilgjengelig informasjon. Slik informasjon lagres i ett år.

Dersom du avgir ett samtykke når du henvender deg til oss, vil vi også registrere deg som et lead hos oss, og behandle informasjonen i tråd med det aktuelle samtykket.

Kunder

Når du eller den virksomheten du jobber for, er kunde av oss, behandler vi personopplysninger for å dokumentere, administrere og gjennomføre oppgaver i tilknytning til våre leveranser. Dette kan blant annet være i forbindelse med varelevering og fakturering, osv. Vi vil behandle navn på kunder (som er en personopplysning dersom du er et enkeltmannsforetak), kundekontakt, herunder kontaktinformasjon, tittel og rolle, kundedialog via ulike kanaler, samt eventuell påloggingsinformasjon (brukernavn) som inngår i kundeforholdet. Det rettslige grunnlaget for behandlingen er å oppfylle avtalen med kunden, samt vår berettigede interesse i å administrere kundeforholdet.

Vi oppbevarer personopplysninger i tilknytning til kundeforholdet så lenge det er et aktivt kundeforhold med Byggmakker, og inntil 5 år etter avsluttet kundeforhold for å ivareta egne og den tidligere kundens interesser i en periode etter opphør.

I tillegg kan Byggmakker basert på våre rettslige forpliktelser lagre kundeinformasjon i henhold til lovpålagte krav dersom dette fremgår i slik dokumentasjon, for eksempel regnskapspliktig materiale.

Konsernkunderegister

Byggmakker Handel har et felles konsernkunderegister med sine til enhver til gjeldene datterselskaper. Formålet med konsernkunderegisteret er å administrere kundeforholdet og samordne tilbudet av tjenester fra de forskjellige selskapene i konsernet. Konsernkunderegisteret inneholder alminnelige profilopplysninger som navn eller selskapsnavn, adresse og eventuell informasjon om kontaktperson, opplysninger om hvilket konsernselskap kunden er kunde i og hvilke produkter kunden har avtale om.

Byggmakker har berettiget interesse i å administrere kundeforholdet og samordne tilbudet av tjenester fra de forskjellige selskapene i gruppen. Selskapene har et felles behandlingsansvar for opplysningene i registeret. Du kan som kunde til enhver tid utøve dine rettigheter overfor hvert av selskapene.

Markedsføring

Vi behandler personopplysninger for å markedsføre våre produkter og tjenester, samt for å sende ut spørreundersøkelser og invitasjoner til arrangementer og webinar. Markedsføringsaktivitetene inkluderer blant annet segmentering av målgrupper for markedsføring, markedsføring basert på kjøp eller bruk av tjenester hos oss m.m., utsendelse av nyhetsbrev, sms og andre former for lovlig markedsføring.

Det rettslige grunnlaget for denne behandlingen er hovedsakelig samtykke fra deg til å sende deg informasjon og individuelt tilpasset kommunikasjon om produkter og tjenester, tilbud, tips og råd, invitasjon til kundearrangementer, kunde- og lojalitetsprogram, kundeundersøkelser og annen informasjon som vi tror du vil være interessert i. Vi lagrer informasjonen i tråd med det aktuelle samtykket. Du kan når som helst endre eller trekke tilbake dine samtykker.

Analyser og produktutvikling

Vi bruker sammenstilte data for å gjennomføre analyser som hjelper oss å forstå potensielle og eksisterende kunders behov. Vi bruker slik informasjon til å analysere hvordan våre produkter og tjenester, samt sosiale og digitale kanaler brukes, slik at vi kan videreutvikle disse for å kunne tilby mest mulig verdi.

Denne typen aktiviteter gjøres hovedsakelig på aggregerte (sammenstilte) data, men kan i enkelte tilfeller også innebære behandling av IP adresser. Det rettslige grunnlaget for denne behandlingen er vår berettigede interesse i å forstå og tilpasse oss våre kunders behov for å videreutvikle våre produkter og tjenester.

Våre nettsider

Når du besøker våre nettsider bruker vi informasjonskapsler, også kalt Cookies. Dette er små filer som plasseres på datamaskinen din når du laster ned en nettside. På Byggmakker sine nettsider setter vi ingen informasjonskapsler utenom de nødvendige før du har avgitt ditt samtykke i vår erklæring. Her finner du også informasjon om hvordan vi lagrer og deler slike informasjonskapsler.

Sosiale medier

Byggmakker har opprettet sider på ulike sosiale medieplattformer, for å formidle informasjon og markedsføring om oss, samt engasjere oss i dialog med våre interessenter. Vi har felles behandlingsansvar med driftere av slike plattformer som Byggmakker sin side på Facebook, Instagram og LinkedIn. Byggmakker har en berettiget interesse i å forstå og kommunisere med interessenter i sosiale medier, som har valgt å følge oss og kontakte oss, mens det aktuelle sosiale mediet har sitt rettslige grunnlag beskrevet i sin aktuelle personvernerklæring.

Hvis du besøker, liker eller deler innholdet vårt i sosiale kanaler som Facebook, Instagram, YouTube, Tiktok og LinkedIn settes pixler for å sammenstille data til målrettede annonser mot segment. Dette kan ikke knyttes direkte til deg som person. Her kan du lese mer om hvordan sammenstilt data brukes for å vise annonser uten at annonsøren får vite hvem du er:

Facebook og Instagram

Tiktok

LinkedIn

YouTube (eies av Google)

2.5 Særskilt om Byggmakker kjedemedlemmer

Byggmakker drifter Byggmakker kjeden. For å kunne dokumentere, administrere, videreutvikle og gjennomføre oppgaver i tilknytning til kjededrift behandler Byggmakker, personopplysninger som kontaktperson, kontaktinformasjon, tittel og rolle, samarbeidsdialog via ulike kanaler.  Det rettslige grunnlaget for behandlingen er å oppfylle vår avtale med medlemmet. Vi oppbevarer personopplysningene så lenge det er et aktivt medlemskap, og slettes 2 år etter opphør av medlemskapet.

For arrangementer som Byggmakker selv arrangerer for medlemmene vises det til Deltagelse på kurs og aktiviteter over i punkt 2.2. Der ekstern tredjepart benyttes for å avholde arrangementet vises det til aktuell tredjepart og samtykket som avgis i forbindelse med påmeldingen.

2.6 Generelt om deling av personopplysninger

Utlevering av personopplysninger som følge av rettslige pålegg.

I den utstrekning det er pålagt ved lov eller rettslig avgjørelse eller nødvendig for etterforskning av mulige lovbrudd mot vår egen virksomhet vil relevante opplysninger kunne bli utlevert til offentlige myndigheter eller eventuelle andre berettigede.

Behandling av opplysninger hos våre leverandører

Leverandører som utfører tjenester til eller på vegne av Byggmakker, herunder hjelper oss med drift av virksomheten, vil normalt være databehandler, og følgelig kunne få tilgang til personopplysninger. Databehandler kan ikke bruke opplysningene til andre formål enn det de er innhentet til, og som bestemt av Byggmakker. Egne databehandleravtaler regulerer alle personopplysninger som behandles av disse leverandørene.

I forbindelse med virksomhetsoverdragelse

Personopplysninger vil i enkelte tilfeller kunne deles i forbindelse med fusjon, oppkjøp, salg av Byggmakker sine eiendeler eller overføring av tjenester til et annet selskap. I slike tilfeller sørger vi for at deling skjer i overensstemmelse med denne personvernerklæring og i henhold til gjeldende personvernlovgivning.

Utlevering av personopplysninger til land utenfor EØS-området

I enkelte tilfeller kan det hende vi benytter leverandører eller samarbeidspartnere som behandler personopplysninger i land utenfor EØS-området. I slike tilfeller sørger vi for at opplysningene er overført i overensstemmelse med denne personvernerklæring og i henhold til gjeldende personvernlovgivning, og eventuelle godkjente standardavtaler og sertifiseringsordninger.

Byggmakker arbeider planlagt og systematisk med å beskytte personopplysninger. Gjennom god internkontroll og god informasjonssikkerhet sikrer vi at vi behandler personopplysninger lovlig, sikkert og forsvarlig.

Vi skal ivareta den registrertes rettigheter og friheter, samtidig som vi oppfyller virksomhetens lovlige formål med behandlingen. Etter personvernregelverket innebærer det en forholdsmessighet hvor vi ser på behandlingens art, omfang, formål og sammenheng, samt risikoene for fysiske personers rettigheter og friheter, og ut fra det gjennomfører vi egnede tekniske og organisatoriske tiltak.

Byggmakker er opptatt av å hindre uautorisert tilgang til og videreformidling av personopplysninger. Vi skal sørge for at de personopplysningene vi behandler behandles konfidensielt, vi skal opprettholde integriteten til personopplysningene, samt sikre at de er tilgjengelige i henhold til gjeldende personvernlovgivning.

I Byggmakker tror vi på å bygge en sterk bedriftskultur der åpenhet om, respekt for og bevissthet rundt, personvern blant våre ansatte er grunnleggende for å sikre lovlig behandling og beskyttelse av personopplysninger og annen data. Følgende tiltak er spesielt viktige for oss i denne forbindelse:

Organisatoriske tiltak

• På konsernnivå har Kesko dedikerte ressurser som utelukkende jobber med og for personvern for hele Kesko konsernet.
• Det er utpekt ett felles personvernombud for Kesko selskapene i Norge.
• Kesko selskapene har dedikerte lokale ressurser som med en strukturert tilnærming oppdateres faglig og forvalter personvernansvaret i samarbeid med ledelsen, lokalt personvernombud, og i samarbeid med ressursene på konsernnivå.
• Kesko har dedikerte ansatte som tar strategiske beslutninger, overvåker og styrer konsernets sikkerhetsarbeid.
• Alle ansatte skal gjennomføre opplæring i personvern og informasjonssikkerhet. 
• Det gjennomføres bevisstgjøringskampanjer på personvern og sikkerhet for alle ansatte. 
• Alle ansatte i Kesko har taushetsplikt om informasjon vi mottar i forbindelse med arbeidet vårt. 
• Det er etablert internkontroll ansvar i konsernet med klare retningslinjer rundt personvernhåndtering, herunder personvernkonsekvens-utredninger, protokoll over behandlingsaktiviteter og annen dokumentasjon. 
• Alle underleverandører skal inngå databehandleravtale med aktuelt selskap i Kesko-konsernet.

Tekniske tiltak

• Klassifisering av personopplysninger for å sikre at de sikkerhetstiltakene som implementeres står i forhold til vurderingen av risiko.
• Vurdere bruk av kryptering og pseudonymisering som risikoreduserende tiltak.
• Begrense tilgang til personopplysninger til de som trenger tilgang for å oppfylle plikter i henhold til tjenesteavtaler eller lovgivning.
• Bruke systemer som avhjelper og forhindrer avvik.
• Bruke sikkerhetsrevisjoner for å fortløpende vurdere hvorvidt gjeldende tekniske og organisatoriske sikkerhetstiltak er tilstrekkelige.

Fysiske tiltak

• Våre kontorlokaler er beskyttet med adgangskontroll.

Du har rett til å kreve innsyn, retting eller sletting av personopplysningene vi behandler om deg. Du har videre rett til å kreve begrenset behandling, rette innsigelse mot behandlingen og kreve rett til dataportabilitet. Vær oppmerksom på at det foreligger noen unntak fra rettighetene. Du kan lese mer om innholdet i disse rettighetene på datatilsynets sider.

For å ta i bruk dine rettigheter kan du registrere din anmodning ved å sende inn en henvendelse til oss via e-post til personvern@byggmakker.no

Vi vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å sikre oss at vi kun gir deg tilgang til dine personopplysninger - og ikke til noen som gir seg ut for å være deg. Vi vil svare på din henvendelse så fort som mulig, og senest innen 30 dager med mindre det foreligger særlige omstendigheter (du vil i så fall få beskjed fra oss).

Du skal ha tilgang til dine samtykker der samtykkene først ble gitt, og der skal du enklest og når som helst kunne endre eller trekke tilbake dine samtykker. Dersom du har spørsmål tilknyttet ett samtykke, kan du uansett ta kontakt med oss ved å sende inn en henvendelse via e-post til personvern@byggmakker.no

Dersom du mener at vår behandling av personopplysninger ikke stemmer med det vi har beskrevet her, eller at vi på andre måter bryter personvernlovgivningen, håper vi du tar kontakt med oss så snart som mulig.

Byggmakker ønsker at alle hendelser og avvik som kan påvirke personvernet eller informasjonssikkerheten skal meldes til oss så snart som mulig via e-post til personvern@byggmakker.no

Alle henvendelser blir håndtert og fulgt opp i vårt saksbehandlingssystem av dedikerte personvernressurser i tråd med våre interne prosedyrer. Når du melder en sak hos oss vil du også få informasjon om hvordan du kan komme i kontakt med oss for å følge opp saken din.

Du kan også alltid ta direkte kontakt med vårt personvernombud, se kontaktinformasjon under.   Du har rett til å klage til Datatilsynet, informasjon om hvordan kontakte Datatilsynet finner du på Datatilsynets nettsider.

Med jevne mellomrom må vi oppdatere denne personvernerklæringen for å gi deg korrekt informasjon om hvordan vi behandler personopplysninger. Kommer det vesentlige endringer, informerer vi deg selvsagt om dette.

Som en del av Kesko har vi ett felles personvernombud for Kesko selskapene i Norge. Du kan alltid kontakte personvernombudet hvis du har spørsmål knyttet til behandling av personopplysninger eller utøvelse av dine rettigheter. 

Kontaktopplysninger for personvernombudet: 

E-postadresse: personvern@byggmakker.no

Postadresse: Postboks 117, 2021 Skedsmokorset 

Behandlingsansvarlig er:

Byggmakker Handel AS Postboks 117 2021 SKEDSMOKORSET Henvendelser angående behandling av personopplysninger kan sendes til personvern@byggmakker.no