Personvernerklæring

Denne versjonen ble sist oppdatert 2024-08-22.

1. Hvordan behandler vi personopplysningene dine?  

Vi i HPI Health Profile Institute AB ønsker at du skal føle deg trygg på hvordan vi behandler personopplysningene dine. Derfor er vi åpne om hvordan vi samler inn og administrerer informasjonen vi lagrer om deg. Vi sørger for at dine personopplysninger alltid er beskyttet av oss og at behandlingen er i samsvar med kravene i personvernforordningen (GDPR), interne retningslinjer og andre relevante juridiske krav. Siden vi håndterer sensitive personopplysninger på vegne av våre kunder, har vi utnevnt en databeskyttelsesansvarlig for å gjennomgå overholdelse av gjeldende regler.

2. Ansvar og kontaktinformasjon

HPI Health Profile Institute AB er ansvarlig for hvordan dine personopplysninger behandles. Hvis du har spørsmål om hvordan vi håndterer dine personopplysninger eller ønsker å utøve dine rettigheter i henhold til GDPR, kan du kontakte oss på følgende måte:

Kontaktinformasjon til kontrolleren  

Postadresse: HPI Health Profile Institute AB, Magnus Ladulåsgatan 65, 118 27 Stockholm
E-post: support@hpi.se

Kontaktinformasjon til databeskyttelsesansvarlig  

E-post: dso@carasent.com

3. Hva er personopplysninger?  

Personopplysninger refererer til all informasjon som direkte eller indirekte identifiserer en person. Dette inkluderer informasjon som navn, kontaktinformasjon, geolokalisering og andre data knyttet til en persons identitet.

4. Hva er behandling av personopplysninger?  

Behandling av personopplysninger omfatter alle handlinger som utføres på personopplysninger, enten de er automatiserte eller ikke. Noen eksempler på slike handlinger inkluderer innsamling, lagring og utlevering av personopplysninger. Vi kan for eksempel ha lagret dine personopplysninger hvis du jobber for en kunde eller leverandør for oss, eller hvis du selv har gitt dataene dine til oss i forbindelse med din deltakelse i et arrangement. Hvis du søker jobb eller er ansatt hos oss, vil vi informere deg separat om hvordan dine personopplysninger behandles i forbindelse med dette.

5. Hvilke personopplysninger behandler vi om deg?  

På slutten av denne policyen (under overskrift 11) finner du detaljert informasjon om hvilke typer personopplysninger vi samler inn om deg, for hvilket formål og på hvilket juridisk grunnlag. Vi vil også informere deg om potensielle mottakere og oppbevaringsperioden for ulike typer personopplysninger.

6. Hvordan beskytter vi personopplysningene dine?  

Vi tar passende sikkerhetstiltak for å beskytte dine personlige data og forhindre uautorisert tilgang eller uautorisert bruk. Våre sikkerhetsprosedyrer inkluderer regelmessige oppdateringer og tester, kryptering og sikkerhetskopiering av data. Tilgang til personopplysninger er begrenset til ansatte som trenger det for å utføre sine oppgaver. I tillegg utdanner vi våre ansatte om viktigheten av konfidensialitet for å opprettholde sikkerheten til personopplysninger.

7. Hvordan deler vi personopplysningene dine?  

Vi vil bare dele dine personopplysninger med tredjeparter beskrevet i denne policyen. Vi tar alltid de nødvendige sikkerhetstiltakene for å beskytte dine personlige data. I tillegg, når vi deler dine personopplysninger med våre databehandlere, vil de bare behandle dataene i henhold til våre instruksjoner. En mer spesifikk beskrivelse av hvordan vi deler personopplysninger finner du nedenfor.

Carasset-gruppen  

I enkelte situasjoner kan vi ha en legitim interesse i å dele personopplysningene dine med andre selskaper innenfor Carasent-konsernet, som består av Carasent Sverige, Carasent AB, Carasent Norge AS, Metodika AB, HPI Health Profile Institute AB og Medrave Software AB. Formålet med å dele personopplysninger innenfor Carasset Group er ofte å oppnå interne administrative formål. Dette kan for eksempel være personopplysninger som er nødvendige for regnskap, som delvis forvaltes sentralt i Carasset-konsernet. Hvis vi trenger å dele personopplysningene dine med andre selskaper innen Carasset Group, stiller vi de samme høye sikkerhetskravene som om vi hadde behandlet personopplysningene selv.

Tjenesteleverandører  

Som behandlingsansvarlig vil vi i noen tilfeller trenge hjelp fra partnere, leverandører eller tjenesteleverandører for å utføre behandlingen av dine personopplysninger. For eksempel bruker vi leverandører (som er våre persondatabehandlere) for IT- og finanssystemer. Vi bruker kun persondatabehandlere som kan garantere at dataene er beskyttet av tilstrekkelige tekniske og organisatoriske sikkerhetstiltak.

Myndighetene  

Noen ganger har vi en juridisk forpliktelse til å utlevere personopplysninger på forespørsel fra myndighetene. I tillegg kan det hende at vi må utlevere personopplysninger for å etablere, utøve eller forsvare juridiske krav reist mot oss.

8. Overføringer utenfor EU/EØS  

Vi tar alltid sikte på å behandle dine personopplysninger innenfor EU/EØS. Noen av våre databehandlere kan imidlertid operere i land utenfor dette området. Primært gjelder det visse systemleverandører som har hovedkontor i USA, noe som betyr at personopplysningene potensielt kan nås derfra selv om serverne selv er lokalisert innenfor EU/EØS. Hvis personopplysningene dine overføres til et land utenfor EU/EØS, sørger vi for at de behandles sikkert og at beskyttelsesnivået tilsvarer det som gis innenfor EU/EØS. Du er velkommen til å kontakte oss hvis du ønsker informasjon om landene der våre persondatabehandlere opererer og hvilke beskyttelsestiltak vi har iverksatt. Kontaktinformasjon finner du i begynnelsen av denne policyen (under overskrift 2).

Overføringer utenfor EU/EØS skjer bare hvis ett av følgende betingelser er oppfylt:

  • Mottakerlandet har et tilstrekkelig beskyttelsesnivå tilsvarende det i EU, ifølge en beslutning fra EU-kommisjonen.
  • Overføringen kan være basert på standard kontraktsklausuler fra EU-kommisjonen. Dette er et juridisk bindende og håndhevbart instrument som garanterer datasikkerheten.
  • Spesielle situasjoner og enkeltsaker.

9. Dine rettigheter  

Vi er ansvarlige for å sikre at dine personopplysninger behandles i samsvar med gjeldende lovgivning. Denne delen beskriver dine rettigheter i forhold til vår håndtering av dine personopplysninger. Hvis du har spørsmål eller ønsker å utøve en rettighet, vennligst kontakt oss via e-post eller ved å skrive til vår postadresse som er oppført øverst i denne policyen. Vi vil svare på forespørselen din innen en måned. For å beskytte dine personopplysninger, kan det hende vi må bekrefte identiteten din før vi behandler forespørselen din.

Rett til innsyn  

Vi er forpliktet til å være transparente om hvordan vi håndterer dine personopplysninger. Hvis du vil vite hvilken informasjon vi har om deg, kan du be om en kopi av dette. Denne kopien vil blant annet inneholde informasjon om hvorfor vi oppbevarer personopplysningene dine, hva slags personopplysninger det er, hvilke mottakere vi deler dem med, hvor lenge vi oppbevarer dem og hvor vi har samlet dem inn fra.

Rett til utbedring  

Hvis du finner feil i personopplysningene vi har om deg, kan du be oss om å rette dem. Du kan også be oss om å legge til manglende informasjon.

Rett til sletting  

Du kan be oss om å slette personopplysningene dine. Det er imidlertid unntak fra denne retten, for eksempel når vi er lovpålagt å beholde dataene. Denne forpliktelsen kan blant annet finnes i lovverk knyttet til regnskap, skatteregler og arbeidsrett. I tillegg kan det hende vi må fortsette å behandle dataene dine for å etablere, hevde eller forsvare juridiske krav. Hvis vi ikke kan slette dataene dine, vil vi sørge for at de ikke brukes basert på andre formål enn de som hindrer dem i å bli slettet.

Rett til dataportabilitet  

I noen tilfeller har du rett til å overføre dataene dine til en annen behandlingsansvarlig hvis slik overføring er teknisk mulig. Dette gjelder spesielt for dataene du selv har gitt oss, og bare hvis vi behandler dataene basert på ditt samtykke eller for å oppfylle en kontrakt med deg.

Rett til begrensning av behandling  

Du har rett til å be om begrensning av vår behandling av dine personopplysninger. Hvis du har oppdaget at informasjonen om deg er feil, kan du be om at behandlingen begrenses i løpet av tiden vi verifiserer nøyaktigheten av dataene. Hvis du har protestert mot vår legitime interesse som et lovlig grunnlag for behandlingen, kan du be om at behandlingen begrenses i den perioden vi vurderer om vår legitime interesse oppveier din interesse i å få dataene slettet.

Rett til å protestere  

Du har rett til å protestere mot viss behandling basert på vår legitime interesse, for eksempel markedsføring i nyhetsbrev. Du har alltid muligheten til å melde deg av markedsføringskommunikasjon i hver e-post med direkte markedsføring vi sender deg. Du kan protestere mot direkte markedsføring og analyser utført for direkte markedsføringsformål uten å oppgi noen grunn. Hvis du motsetter deg direkte markedsføring, vil vi ikke lenger behandle personopplysningene dine for det formålet. Når det gjelder personopplysninger som behandles for andre formål enn markedsføring, vil vi i hvert tilfelle vurdere om vår legitime interesse i behandlingen oppveier dine interesser, rettigheter og friheter.

Rettigheter knyttet til automatisert beslutningstaking og profilering  

Du har rett til å bli informert om logikken og konsekvensene av enhver automatisert beslutningstaking fra oss. Foreløpig bruker vi ikke noen form for automatisert beslutningstaking. Du vil bli informert om dette skulle endre seg. Automatisert beslutningstaking kan for eksempel bestå i avvisning av e-rekruttering via Internett uten personlig kontakt. Profilering refererer til enhver form for automatisert behandling av personopplysninger for å vurdere noens personlige egenskaper som arbeidsytelse, økonomisk situasjon, helse, personlige preferanser, interesser osv.

Rett til å sende inn en klage  

Hvis du har noen klager angående vår behandling av dine personopplysninger, kan du kontakte Datatilsynet via følgende lenke.

10. Tilleggsinformasjon

Vi oppdaterer denne policyen kontinuerlig for å sikre at den nøyaktig beskriver hvordan vi håndterer dine personopplysninger. I tilfelle vesentlige endringer i retningslinjene, vil vi alltid varsle deg separat. Vi oppfordrer deg til å lese personvernreglene våre regelmessig for å holde deg informert om hvordan vi bruker din personlige informasjon. Den nyeste versjonen er alltid tilgjengelig på hpi-plustoo/personvernregler.  

11. En oversikt over hvordan vi behandler dine personopplysninger

Du som besøker nettstedet vårt

For informasjon om hvordan vi håndterer informasjonskapsler, vennligst se vår retningslinjer for informasjonskapsler.

Du som bruker våre produkter og tjenester

Når du bruker våre produkter og tjenester, behandler vi vanligvis bare dine personopplysninger i rollen som databehandler til våre kunder, som er behandlingsansvarlige. Dette betyr at bedriftshelse- eller arbeidsmiljøoperatøren du er tilknyttet inngår en personopplysningsavtale med oss og gir instruksjoner om hvordan vi vil behandle personopplysningene dine. Ta derfor kontakt med bedriftshelse- eller bedriftshelseoperatøren du er tilknyttet hvis du har spørsmål om hvordan dine personopplysninger behandles når du bruker våre produkter og tjenester.

Du som er ansatt hos våre kunder eller potensielle kunder

  • Personopplysninger: Navn, e-post, postadresse, bankkontonummer.
  • Formål: Bokføring. Opprettholde regnskap for inntekter og utgifter.
  • Rettslig grunnlag: Juridisk forpliktelse.
  • Mottakere: Leverandør av finansielle systemer, Bolagsverket, andre selskaper innen Carasset Group (sentral styring av økonomi).
  • Lagringstid: Lagret i 7 år.

__________________________________________________________

  • Personopplysninger: Navn, e-postadresse, telefonnummer, IP-adresse, elektronisk signatur.
  • Formål: E-signering. Aktiver elektronisk signering av kontrakter.
  • Rettslig grunnlag: Legitim interesse.
  • mottaker: Leverandør av e-signering.
  • Lagringstid: I løpet av kontraktens løpetid eller så lenge det kreves for regnskap (7 år).

__________________________________________________________

  • Personopplysninger: Navn og e-post.
  • Formål: Kontaktskjema på nettstedet.
  • Rettslig grunnlag: Legitim interesse.
  • mottaker: Leverandør av støttesystemer, saksbehandling.
  • Lagringstid: Lagret så lenge kontrakten varer, eller så lenge det er nødvendig for for eksempel å hjelpe kunden.

__________________________________________________________

  • Personopplysninger: Navn, e-postadresse, yrkestittel.
  • Formål: Kundeavtale. Lagre kundeavtaler og kommunikasjon.
  • Rettslig grunnlag: Legitim interesse.
  • mottaker: Leverandør for dokumentlagring, andre selskaper innen Carasset-konsernet.
  • Lagringstid: I løpet av kontraktens løpetid eller så lenge det kreves for regnskap (7 år).

__________________________________________________________

  • Personopplysninger: Navn, e-postadresse, telefonnummer, kjøpshistorikk, kommunikasjonshistorikk, yrkestittel, forskriverkode, HSAID, kundekode, bruk av tjenesten.
  • Formål: Kundeopptegnelser. Administrer kundeinformasjon og kommunikasjon.
  • Rettslig grunnlag: Avtale.
  • mottaker: Leverandør for dokumentlagring og e-post.
  • Lagringstid: I løpet av kontraktens løpetid eller til deaktivering i systemet.

__________________________________________________________

  • Personopplysninger: Navn, e-postadresse, IP-adresse, logger, støtteforespørsler.
  • Formål: Kundesupport. Tilby støtte under kontrakt.
  • Rettslig grunnlag: Avtale.
  • mottaker: Støttesystemleverandør.
  • Lagringstid: I løpet av kontraktens løpetid eller til deaktivering i systemet.

Du som er ansatt hos våre kunder eller potensielle kunder

  • Personopplysninger: Navn, e-post, postadresse, bankkontonummer.
  • Formål: Bokføring. Opprettholde regnskap for inntekter og utgifter.
  • Rettslig grunnlag: Juridisk forpliktelse.
  • Mottakere: Leverandør av finansielle systemer, Myndighet, Andre selskaper innen Carasset Group (sentralt forvaltet økonomi).
  • Lagringstid: Lagret i 7 år.

__________________________________________________________

  • Personopplysninger: Navn, e-post, profesjonell tittel.
  • Formål: Leverandøravtaler. Lagre leverandøravtaler og relatert kommunikasjon Opprettholde regnskap for inntekter og utgifter.
  • Rettslig grunnlag: Legitim interesse.
  • Mottakere: Leverandør brukes til internt arbeid som dokumentlagring, e-post, etc., i noen tilfeller andre selskaper innen Carasset Group (økonomien forvaltes sentralt).
  • Lagringstid: Lagret for kontraktens varighet, eller så lenge det er nødvendig for f.eks. bokføring (7 år).

__________________________________________________________

Du som deltar under webinarer og arrangementer, eller deltar i kundesaker

  • Personopplysninger: Navn og bilde.
  • Formål: Kundesak. Informer om våre tjenester og produkter ved å vise frem kundenes hverdag.
  • Rettslig grunnlag: Avtaler.
  • Mottakere: Det fremgår av de respektive avtalene.
  • Lagringstid: Det fremgår av de respektive avtalene.

__________________________________________________________

  • Personopplysninger: Navn og e-post.
  • Formål: Webinar. Informer om våre tjenester og produkter, muliggjør interaktive undersøkelser blant deltakerne og følg opp webinarrom med tilleggsmateriell, tilbud og invitasjoner.
  • Rettslig grunnlag: Legitim interesse.
  • Mottakere: Webinar-plattformleverandør.
  • Lagringstid: Ikke lagret.

Du som mottar nyhetsbrev

  • Personopplysninger: Navn og e-post.
  • Formål: Nyhetsbrev. Informere om våre tjenester og produkter.
  • Rettslig grunnlag: Legitim interesse.
  • Mottakere: Leverandør av nyhetsbrev.
  • Lagringstid: Du kan når som helst melde deg av våre utsendelser ved å klikke på avmeldingslenken i den siste e-posten du mottok fra oss. Hvis du ikke selv avslutter abonnementet, behandler vi personopplysningene så lenge det er nødvendig for å oppnå formålet med behandlingen, f.eks. så lenge arbeidsgiveren din har en avtale med oss.

Du som søker jobb hos oss

  • Personopplysninger: Navn, e-post, foto, video, logger, data levert av personen selv.
  • Formål: Jobbintervju. Administrer rekruttering og muliggjør ansettelse.
  • Rettslig grunnlag: Legitim interesse.
  • Mottakere: Leverandør brukes til internt arbeid som dokumentlagring, e-post, etc., andre selskaper innen Carasset Group (HR styres sentralt).
  • Lagringstid: Slettet etter fullført rekrutteringsprosess.

__________________________________________________________

  • Personopplysninger: Navn, telefonnummer, e-post, postadresse, info i CV, info i følgebrev.
  • Formål: Søknadsdokumenter. Administrer rekruttering og muliggjør ansettelse.
  • Rettslig grunnlag: Legitim interesse.
  • Mottakere: Leverandør av rekrutteringssystemer, andre selskaper innen Carasset konsernet (HR styres sentralt).
  • Lagringstid: Lagret i 2 år (juridisk forpliktelse etter diskrimineringsloven). Med samtykke fra søkeren kan dokumentene lagres lenger. Nytt samtykke innhentes som utgangspunkt årlig.

__________________________________________________________

  • Personopplysninger: Navn, e-post, telefonnummer.
  • Formål: Bakgrunnskontroll, ordre. Administrer rekruttering og muliggjør ansettelse. Offentliggjøring av data for å muliggjøre bestilling og mottak av rapporter.
  • Rettslig grunnlag: Legitim interesse.
  • Mottakere: Leverandør av bakgrunnssjekker, andre selskaper innen Carasset Group (HR styres sentralt).
  • Lagringstid: Slettet etter fullført rekrutteringsprosess.

__________________________________________________________

  • Personopplysninger: Navn, personnummer, e-post, telefonnummer.
  • Formål: Bakgrunnssjekk, gjennomgang. Mottak av oppgaver for å administrere rekruttering og muliggjøre ansettelse. Vi mottar bare rapporten fra leverandøren etter godkjenning av arbeidssøkeren.
  • Rettslig grunnlag: Legitim interesse.
  • Mottakere: Leverandør av bakgrunnssjekker, andre selskaper innen Carasset Group (HR styres sentralt).
  • Lagringstid: Leverandøren sletter automatisk dataene 72h etter at vi åpner rapporten i systemet. Når du laster ned rapporten, vil dataene bli slettet etter at rekrutteringsprosessen er fullført.

__________________________________________________________

  • Personopplysninger: Navn, e-postadresse, telefonnummer, bruker-ID, testresultater.
  • Formål: Motivasjonstest. Administrer rekruttering og muliggjør ansettelse.
  • Rettslig grunnlag: Legitim interesse.
  • Mottakere: Leverandør av motivasjonstester, andre selskaper innen Carasset konsernet (HR styres sentralt).
  • Lagringstid: For de som ikke er ansatt, 2 år etter diskrimineringsloven. For de som er ansatt, for hele ansettelsesperioden og blir deretter slettet.

__________________________________________________________

  • Personopplysninger: Navn, e-post, telefonnummer.
  • Formål: Referansetaking. Administrer rekruttering og muliggjør ansettelse.
  • Rettslig grunnlag: Samtykke.
  • Mottakere: Leverandør av rekrutteringssystemer, Leverandør brukt til internt arbeid som dokumentlagring, e-post osv. Andre selskaper innen Carasset Group (HR styres sentralt).
  • Lagringstid: Slettet etter fullført rekrutteringsprosess.