Retningslinjer for personvern
1. Personvernerklæring og behandlingsansvarlig
Personvernerklæringen informerer om hvordan Imageshop AS samler inn og bruker personopplysninger.
Denne personvernerklæringen ble publisert 10. september 2022
Imageshop AS har hovedkontor på denne adressen:
Møllendalsveien 1, 5009 Bergen, Norge. Kontaktinformasjon til vårt personvernombud er: privacy@imageshop.org
Imageshop er behandlingsansvarlig for de personopplysninger som samles inn om deg.
2. Hva er personopplysninger?
Personlig informasjon er alt som beskriver deg eller som kan knyttes til deg som enkeltperson. Det kan omfatte kontaktopplysninger (Navn, telefonnumer, etc.), Identifikasjonsnummer (IP-adresse, kundenummer, informasjonskapsel-ID osv.) og opplysninger om handlinger eller atferd (kjøp, besøkte nettsteder, e-poster du har mottatt osv.).
3. Hvorfor vi samler inn personopplysninger og formålet med det
3.1 Statistikk for forbedring av nettsider og markedskommunikasjon
Vi samler og analyserer data om hvordan du og andre brukere benytter nettstedet. Formålet med dette er å få vite hvordan nettsidene benyttes, slik at vi kan forbedre vårt innhold og våre produkter/tjenester basert på denne innsikten.
Hvilke data: Data om atferd (hvilke sider du besøker, hva du klikker på osv), data om din enhet (type datamaskin/mobiltelefon, operativsystem, nettleser osv.), data om ditt nettverk og posisjon (avledet fra IP-adresse). Alle data knyttes til et anonymt id-nummer som lagres i en cookie i din nettleser. (les mer om cookies)
Behandlingsgrunnlag: Legitim interesse. Vi har stor verdi av å samle og analysere dette datamaterialet, og vurderer at det ikke utgjør noen stor belastning for ditt personvern så lenge informasjonen ikke knyttes til andre informasjonskilder og kontaktopplysninger.
Slik behandler vi personopplysninger: Vi benytter Google Analytics til å samle disse dataene fra din nettleser. Dataene lagres på Google sine servere, men eies av oss. De knyttes ikke til andre verktøy eller kilder med mindre du har gitt samtykke (se andre formål). For å minimere konsekvensene for personvernet lagres ip-adressen kun i anonymisert form (les om ip-anonymisering), og vi setter utløpstiden for cookien som identifiserer deg til maksimalt 7 dager. Når cookien har utløpt vil dataene ikke lenger ha noen kobling til deg som person. I tillegg vil alle individuelle data slettes automatisk av Google Analytics etter 14 måneder.
3.2 Sporing av konverteringer for annonsering
Vi måler resultatene fra vår markedsføring ved å rapportere hvor mange kontakthenvendelser og salg som kommer fra en markedskampanje. Formålet er å kunne optimalisere og effektivisere vår markedsføring.
Hvilke data: At du har gjennomført en konkret handling på vårt nettsted, og fra hvilken kilde du kom inn til vårt nettsted. Knyttes også til alle andre data som samles til statistikk (se over).
Behandlingsgrunnlag: Legitim interesse. Databehandlingen setter oss i stand til å bruke våre ressurser mest mulig effektiv, og spare både krefter og penger på tiltak som ikke skaper resultater. I de tilfeller hvor datainnsamlingen ikke er mulig å gjennomføre uten at data kobles til annen informasjon hos tredjepart baserer vi oss på ditt aktive samtykke.
Slik behandler vi personopplysninger: Databehandlingen følger de samme prinsippene som for generelle statistikkformål. Med grunnlag i legitim interesse samler og behandler vi data i Google Analytics, samt at vi sender data til Google Ads med bruk av såkalt Consent Mode (data sendes uten cookie-informasjon). Har du gitt samtykke til “markedsføring” sender vi data til Google Ads på vanlig måte, samt til Facebook, Bing og eventuelle andre annonseleverandører (mer om annonsering under).
3.3 Målretting av annonser
Vi samler inn data om oppførselen din på nettsidene våre og deler dem med annonseleverandører (databehandlere), med sikte på å oppnå mer presis annonsemålretting.
Hvilke data: Data om atferd (hvilke nettsteder du besøker, hva du klikker osv.), data på terminalen din (type datamaskin/telefon, operativsystem, nettleser osv.) og data om nettverket og posisjonen din (avledet fra IP-adressen). Alle data likes til et anonymt ID-nummer, som lagres i en informasjonskapsel i nettleseren din. Dette ID-nummeret er en felles identifikator for deg på alle nettsteder du besøker, som utveksler data med de samme markedsføringsleverandørene.
Behandlingsgrunnlag: Samtykke, som du gjør ved å akseptere «markedsføring» som et formål (eller «alle») når du besøker nettsteder, kan du endre samtykket ditt på nettstedet vårt for informasjonskapsler.</ p>
Slik behandler vi personopplysninger:
Data samles fra din nettleser når du besøker våre sider, og sendes til lagring og bearbeiding hos annonseleverandøren. Vi benytter flere ulike leverandører, inkludert Google Ads, Google Marketing Platform, Facebook, Microsoft Bing, LinkedIn. I neste omgang blir du plassert i ulike “målgrupper” hos disse leverandørene, som gir mulighet til at vi kan kjøpe annonsering av dem som du får se når du besøker andre nettsteder i deres nettverk. Derfor vil du ofte se annonser for Imageshop på mange ulike steder etter at du har besøkt våre sider. Data om deg inngår også i din generelle profil hos leverandøren, og brukes til å beskrive dine interesser og anslå andre karakteristika ved deg (profilering). Hvis du har oppgitt kontaktopplysninger eller annen personlig informasjon til leverandøren (f.eks. Facebook), så knyttes dataene også opp mot dette. Dette gir grunnlag for at andre annonsører enn Imageshop som benytter samme annonsenettverk kan kjøpe annonser med mer presis målretting. Konsekvensen for deg er at de annonsene du får se blir mer tilpasset deg og din situasjon. For å unngå at data om din atferd på våre sider benyttes på denne måten kan du unngå å samtykke til bruk av cookies til “markedsføring”. For å unngå generelt at annonseleverandører samler slike data og benytter dette til å lage en profil på deg kan du enten slette/avvise alle cookies i din nettleser, eller redigere dine innstillinger hos leverandøren. Her er linker til hvordan du kan gjøre dette hos Google, Facebook og LinkedIn.
3.4 Imageshop for Google Workspace Marketplace(TM) og Microsoft Office 365
Imageshop tilbyr Imageshop-tillegg for Google Workspace(TM)-brukere og Office 365 brukere. Bruk av tillegget krever tilgang til en Imageshop-konto og aksept av vilkårene og betingelsene og personvernerklæringen. Dette tillegget samler ikke inn eller lagrer data om deg som bruker, det gir deg kun tilgang til bilder fra Imageshop-kontoen som er opprettet for deg, ved å logge på med brukernavn og passord.
Krypterte informasjonskapsler brukes til å lagre legitimasjon for «husk meg»-funksjonen når du logger på. Selve passordet og brukernavnet lagres ikke i informasjonskapselen. Dette tillegget samler ikke inn annen privat informasjon fra brukeren. Påloggingsinformasjonen sendes på en sikker kanal ved hjelp av et SSL-sertifikat.
Hvilke data samler vi inn: Vi krever brukernavn og passord for at Imageshop skal kunne se bilder inne i Imageshop-løsningen. I tillegg samler vi inn brukersted for å kunne vise innhold på brukerens eget språk. Vi leser eller lagrer ingen informasjon i Google Slides(TM)- eller Google Docs(TM)-og tilsvarende Office 365 dokumentene vi ber om tillatelse til. Tillatelsen er kun nødvendig for å kunne sette inn bilder i dokumentet.
Tillatelser forespurt ved installasjon av Imageshop for Google Docs(TM) og Google Slides(TM) og Office 365
Vi har satt tillatelsene så restriktive som mulig.
3.5 Direkte markedsføring og nettverk
Imageshop AS inviterer til webinarer, formidler kunnskap og faglig informasjon gjennom vårt nettverk. Tilgang til dette materialet gis til alle som godtar å motta nyhetsbrev fra oss.
Hvilke data: Vi samler opplysninger som navn, e-postadresse, bedriftsnavn, samt historikk over dine interaksjoner med Imageshop gjennom epostkommunikasjon (inkludert åpning og klikk) og besøk på nettsiden.
Behandlingsgrunnlag: Aktivt samtykke
Slik behandler vi personopplysninger:
Når du fyller ut skjema på imageshop.no, lagres dine opplysninger i HubSpot som er verktøyet vi bruker til å sende ut epostkommunikasjon og registrere interaksjoner med eget nettverk. Når du åpner epostene og klikker på lenker i dem lagres også informasjon om dette. HubSpot lagrer i tillegg cookies i din nettleser som identifiserer deg for å knytte informasjon om dine aktiviteter på vår hjemmeside til din profil.
Du kan til enhver tid trekke tilbake ditt samtykke til å motta epost. Det gjør du ved å klikke på “endre innstillinger” i bunnen av en epost du har mottatt fra Imageshop.
Samtykke til å spore bruken av informasjonskapsler på nettstedet vårt gis gjennom informasjonskapselinformasjonen som vises ved ditt første besøk, og den kan endres på vår informasjonskapselside.
3.6 Jobbsøknader
I forbindelse med rekrutteringsprosesser samler og tar vi vare på opplysninger om søkere.
Hvilke data: Kontaktinformasjon for søkere som navn, e-postadresse og telefonnummer, samt dokumenter søkeren deler med Imageshop, som CV, referanser og søknadsbrev.
Behandlingsgrunnlag: Berettiget interesse
Hvordan vi behandler personopplysninger: Data om arbeidssøkere samles inn via finn.no sin arbeidssøkerportal eller direkte via e-post til Imageshop. Imageshop lyser ut stillinger gjennom finn.no sin arbeidssøkerportal hvor personopplysninger gjøres tilgjengelig fra søkeren så lenge søknadsprosessen pågår. Ved åpen søknad oppfordrer vi til å sende en søknad til daglig leder på epost. Dokumenter mottatt fra arbeidssøkere oppbevares i maksimalt to år, med den begrunnelse at Imageshop jevnlig rekrutterer nye medarbeidere, slik at det kan oppstå nye muligheter som gjør tidligere søkere aktuelle for ny vurdering.
3.7 Oppfølging av henvendelser og salgsprosesser
Når du kontakter oss, via kontaktskjema og chat på nettsiden eller via e-post og telefon, tar vi vare på dine personopplysninger for oppfølging og salgsprosess.
Hvilke data: Navn, telefonnummer, e-postadresse og firma, samt interaksjoner du har hatt med oss, inkludert besøk på nettstedet vårt.
Behandlingsgrunnlag: Legitim interesse, samt samtykke (til bruk av informasjonskapsler for markedsføring, for å registrere dine besøk på nettstedet vårt)
Hvordan vi behandler personopplysninger: Personlig informasjon og interaksjoner lagres i Hubspot. Dette skjer automatisk dersom du fyller ut skjema på våre nettsider, og vi registrerer deg manuelt dersom du kontakter oss via andre kanaler. Alle ansatte i Imageshop som har kundekontakt har tilgang til disse opplysningene. Hvis du ikke blir fast kunde eller annen partner hos oss, og du heller ikke abonnerer på nyhetsbrevet, vil vi slette informasjonen din innen tre år etter at vi sist hadde kontakt med deg.
3.8 Oppfølging av kunder, samarbeidspartnere
For å gi god oppfølging og oppfylle avtalevilkår samler vi inn og lagrer personopplysninger om våre kunder og samarbeidspartnere.
Hvilke data: kontaktopplysninger som epostadresse, telefon, navn, samt interaksjoner du har hatt med oss, inkludert besøk på vårt nettsted.
Behandlingsgrunnlag: Legitim interesse, samt samtykke (til bruk av informasjonskapsler for markedsføring, for å registrere dine besøk på våre nettsted)
Hvordan vi behandler personopplysninger:
Personopplysninger og data om interaksjoner på våre nettsteder lagres i Hubspot. Alle ansatte i Imageshop som har kundekontakt har tilgang til disse opplysningene.
3.9 Evaluering og oppfølging etter kurs og webinarer
For å kunne forbedre leveransene og for å kunne følge opp deltakere på kurs og webinarer, samler vi inn personopplysninger som deltakerne selv oppgir gjennom en påfølgende spørreundersøkelse og chattelogg under kurs og webinarer.
Hvilke data: Imageshop bruker Zoom for gjennomføring av videobaserte kurs og webinarer. Her har deltakere mulighet til å chatte med foredragsholder. Chatlogg lagres for å kunne ta vare på og følge opp henvendelser via chat.
Behandlingsgrunnlag: Legitim interesse
Hvordan vi behandler personopplysninger: Personopplysninger som gjøres tilgjengelig i chatlogg ifm webinarer og kurs blir lagret i inntil ett år.
3.10 Overføring av personopplysninger til mottakere i land utenfor EU/EØS
Det er en målsetting for oss at all behandling av personopplysninger skal utføres innenfor EU/EØS, men det kan være at vi bruker leverandører eller behandler personopplysninger utenfor EØS. I slike tilfeller skal overføring og behandling utenfor EØS skje i land godkjent av EU-kommisjonen eller i henhold til gyldig rettslig grunnlag for overføring av personopplysninger etter GDPR kapittel V. Dersom overføring ikke skjer til land godkjent av EU-kommisjonen, vil overføring kun skje i samsvar med garantiene fastsatt i artikkel 46 (2) i GDPR. Du kan bli informert om grunnlaget for overføringen hvis du kontakter oss. Både leverandørene vi bruker til annonsering og analyse (som Google, Facebook osv.) og vårt kundesystem Hubspot er basert i USA, og data vil i mange tilfeller bli overført dit. Vi er kjent med utfordringene og kravene som følger av «Schrems II»-dommen og jobber med å finne gode løsninger på dette.
4. Dine rettigheter
Nedenfor er dine rettigheter som registrert. For å utøve rettighetene dine må du kontakte oss på adressen «privacy@imageshop.org».
Vi vil svare på din henvendelse til oss så snart som mulig, og ikke senere enn 30 dager. Tar det lenger tid enn 30 dager, vil du få beskjed.
Om nødvendig vil vi be deg om å bekrefte identiteten din eller oppgi tilleggsinformasjon før vi lar deg utøve din med hensyn til oss. Vi gjør dette for å sikre at vi bare gir tilgang til din personlige informasjon til deg – og ikke noen som utgir seg for å være deg. Når det gjelder informasjon samlet inn på grunnlag av at du har blitt identifisert med bruk av informasjonskapsler, vil en slik bekreftelse være svært vanskelig. Vi kan derfor ikke gi deg tilgang til denne informasjonen annet enn på generelt grunnlag eller gjøre endringer eller slettinger. Hvis du sletter informasjonskapsler i nettleseren din, vil informasjonen vi har lagret ikke lenger ha noen tilknytning til deg.
4.1 Informasjon
Du har rett til å motta informasjon om personopplysningene vi behandler om deg. Gjennom denne erklæringen informerer vi deg om vår behandling av personopplysninger. Du kan også kontakte oss hvis du ønsker mer informasjon.
4.2 Tilgang
Du har rett til å kreve innsyn i personopplysningene som behandles om deg.
4.3 Endring og sletting
Du kan også be oss om å korrigere feil informasjon vi har om deg eller be oss om å slette personopplysninger. Vi vil så langt som mulig imøtekomme en forespørsel om å slette personlig informasjon, men vi kan ikke gjøre dette hvis vi fortsatt trenger informasjonen.
4.4 Behandling på grunnlag av samtykke
Hvis vi behandler personopplysninger på grunnlag av ditt samtykke, kan du når som helst trekke tilbake samtykket. Den enkleste måten å gjøre dette på er å bruke måten som ble oppgitt da du ga ditt samtykke eller kontaktet oss.
4.5 Rett til å begrense eller protestere mot behandlingen
Du har rett til å få behandlingen begrenset i visse tilfeller, for eksempel hvis:
- Du bestrider nøyaktigheten av personopplysningene, for en periode som gjør det mulig for oss å kontrollere nøyaktigheten til personopplysningene.
- Behandlingen er ulovlig, og du motsetter deg sletting av personopplysninger og ber i stedet om at bruken av personopplysninger begrenses.
- Vi trenger ikke lenger personopplysningene for formålet med behandlingen, men du trenger dem for å fastslå, hevde eller forsvare juridiske krav.
- Du har protestert mot behandling i henhold til artikkel 21 (1) i GDPR i påvente av bekreftelse av om våre legitime interesser går foran personvernet ditt.
4.6 Retten til dataportabilitet
For informasjon som du har gitt oss og er nødvendig for å gjennomføre en avtale med oss, og som behandles automatisk (dvs. ikke manuelt av oss), kan du be om at personopplysningene om deg utleveres eller overføres til en annen leverandør i et strukturert, vanlig brukt og maskinlesbart format (dataportabilitet).
4.7 Automatiserte avgjørelser, inkludert profilering
Ingen automatiske avgjørelser vil bli tatt som nevnt i GDPR-artikkel 22 (1) og (4) basert på din personlige informasjon annet enn det som gjøres under annonsemålretting, se ovenfor.
5. Generell informasjon om lagring (sletting) av personopplysninger
Vi lagrer personopplysninger så lenge det er nødvendig for formålet med at de ble samlet inn og sletter opplysningene i henhold til krav i regelverket. Hvor lenge vi behandler de enkelte typer informasjon vi behandler er inkludert ovenfor der de enkelte behandlingene er omtalt.
I stedet for å slette personopplysningene kan det i noen tilfeller være aktuelt å anonymisere personopplysningene. Anonymisering betyr at alle identifiserende eller potensielt identifiserende egenskaper fjernes fra datasett som beholdes.
Dette betyr for eksempel at personopplysninger som vi behandler på grunnlag av ditt samtykke vil bli slettet hvis du trekker tilbake samtykket ditt. Personopplysninger vi behandler for å oppfylle en avtale med deg slettes når avtalen er oppfylt og alle forpliktelser som følger av kontraktsforholdet er oppfylt, som juridiske forpliktelser knyttet til regnskap, oppfølging av kundeforholdet knyttet til reklamasjoner mv.
6. Behandlingssikkerhet
Vi gir høy prioritet til sikkerheten til personopplysninger i vår virksomhet og vil implementere alle nødvendige tekniske og organisatoriske tiltak for å sikre din personlige informasjon. All behandling vil om mulig være kryptert, og ikke tilgjengelig for andre enn de som trenger personlig informasjon for sine oppgaver.
Vi håndterer informasjon slik at den er korrekt, tilgjengelig og håndteres i henhold til graden av sensitivitet til informasjonen. Vi bruker også en rekke sikkerhetsteknologier og informasjonssikkerhetsprosedyrer for å beskytte din personlige informasjon mot uautorisert tilgang, bruk eller avsløring. Der det er nødvendig, gjennomføres risikovurderinger.
Vi har inngått databehandleravtaler med alle våre leverandører som behandler personopplysninger, hvor de forutsetter samme grad av sikkerhet som vi har i vår behandling av personopplysninger.
Vi begrenser tilgangen til din personlige informasjon til ansatte eller tredjeparter som behandler informasjonen på våre vegne. Disse partene er underlagt strenge konfidensialitetskrav, og vi kan ilegge sanksjoner eller si opp avtalen dersom disse kravene ikke overholdes.
Det er etablert rutiner for håndtering av brudd på informasjonssikkerhet og rutiner (personvernbrudd), og vi vil, dersom det er brudd som utgjør en risiko for personvernet til de aktuelle personopplysningene, sende en avviksmelding til Dataene Tilsyn så snart som mulig og senest 72 timer etter at bruddet er oppdaget. Hvis bruddet medfører stor sannsynlighet for personvernet til de som er berørt av bruddet, vil vi også varsle dem.
7. Klager
Vi bruker Datatilsynet som ledende tilsynsmyndighet for grenseoverskridende behandling i henhold til artikkel 56 i GDPR.
Dersom du mener at vår behandling av personopplysninger ikke er i samsvar med det vi har beskrevet her eller at vi på andre måter bryter personvernlovgivningen, så kan du klage til Datatilsynet. Vi ber deg imidlertid om å kontakte oss først, slik at vi kan rette opp eventuell feilbehandling så raskt som mulig.
Du finner informasjon om dine rettigheter og hvordan du kontakter Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.
8. Endringer
Skulle det bli endringer i våre tjenester eller endringer i regelverket om behandling av personopplysninger, kan det føre til endring i informasjonen du har gitt her. Hvis vi har kontaktinformasjonen din, vil vi varsle deg om disse endringene. Ellers vil oppdatert informasjon alltid være lett tilgjengelig på våre nettsider.Imageshop
