Personvernerklæring

Sist oppdatert:

Denne personvernerklæringen forklarer hvordan ArktIQ IT AS behandler personopplysninger. Vi behandler personopplysninger i samsvar med personvernforordningen (GDPR) og personopplysningsloven. Erklæringen oppfyller informasjonsplikten etter GDPR artikkel 13 og 14.

1. Behandlingsansvarlig

ArktIQ IT AS er behandlingsansvarlig for personopplysningene som behandles slik det er beskrevet i denne erklæringen.

• Virksomhet: ArktIQ IT AS
• Organisasjonsnummer: 937 045 670
• Kontakt:

Henvendelser om personvern og bruk av dine rettigheter rettes til kontaktadressen over.

2. Hva er en personvernerklæring?

En personvernerklæring beskriver hvilke personopplysninger vi samler inn, hvorfor vi behandler dem, hvilket rettslig grunnlag vi har, hvor lenge opplysningene lagres, hvem de eventuelt deles med, og hvilke rettigheter du har. Med personopplysninger menes enhver opplysning som kan knyttes til en identifiserbar fysisk person.

3. Behandlingsgrunnlag

Vi behandler kun personopplysninger når vi har et gyldig behandlingsgrunnlag etter GDPR artikkel 6. Avhengig av formålet bygger behandlingen på ett eller flere av følgende grunnlag:

• Avtale (art. 6 nr. 1 b) – for å inngå og oppfylle avtaler med kunder og leverandører.
• Rettslig forpliktelse (art. 6 nr. 1 c) – for å oppfylle lovpålagte plikter, blant annet etter bokføringsloven og arbeidsmiljøloven.
• Berettiget interesse (art. 6 nr. 1 f) – for å ivareta virksomhetens legitime interesser, der disse veier tyngre enn den registrertes interesser.
• Samtykke (art. 6 nr. 1 a) – blant annet for utsendelse av markedsføring på SMS. Samtykke kan når som helst trekkes tilbake.

4. Behandlinger

Under følger en oversikt over behandlinger der personopplysninger om eksterne parter er involvert, samt behandlinger knyttet til ansatte og tilknyttede konsulenter. Tekniske og organisatoriske sikkerhetstiltak er beskrevet samlet i punkt 9.

5. Databehandlere og deling av opplysninger

Vi deler ikke personopplysninger med tredjeparter ut over det som fremgår av denne erklæringen, med mindre du har samtykket eller vi er rettslig forpliktet til det. Vi benytter databehandlere som behandler personopplysninger på våre vegne, og det er inngått databehandleravtale (DPA) med disse. Aktuelle databehandlere inkluderer blant annet Microsoft 365, Fiken, Brevo, Cloudflare og GitHub.

6. Overføring av personopplysninger utenfor EU/EØS

Enkelte av våre databehandlere er etablert i, eller overfører opplysninger til, land utenfor EU/EØS (i hovedsak USA). Slik overføring skjer kun når det foreligger et gyldig overføringsgrunnlag etter GDPR kapittel V, enten gjennom EU–US Data Privacy Framework (DPF) eller EUs standardkontrakter (SCC) etter art. 46. Overføringene som gjelder er angitt i oversikten i punkt 4.

7. Lagringstid

Vi lagrer personopplysninger så lenge det er nødvendig for å oppfylle formålet de ble samlet inn for, eller så lenge vi er pålagt å lagre dem etter lov. Regnskaps- og bokføringsmateriale lagres i 5 år i henhold til bokføringsloven. Konkrete lagringstider for de enkelte behandlingene fremgår av oversikten i punkt 4. Når lagringstiden er utløpt, slettes eller anonymiseres opplysningene.

8. Dine rettigheter

Du har følgende rettigheter når vi behandler personopplysninger om deg:

• Innsyn – du kan be om innsyn i hvilke opplysninger vi behandler om deg.
• Retting – du kan be om at uriktige eller ufullstendige opplysninger rettes.
• Sletting – du kan be om at opplysninger slettes (retten til å bli glemt), så langt vi ikke er pålagt å lagre dem.
• Begrensning – du kan be om at behandlingen begrenses.
• Dataportabilitet – du kan be om å få utlevert opplysninger du har gitt oss i et maskinlesbart format, der behandlingen skjer automatisk og er basert på samtykke eller avtale.
• Innsigelse – du kan protestere mot behandling som bygger på berettiget interesse, og mot behandling for direkte markedsføring.
• Trekke samtykke – der behandlingen bygger på samtykke, kan du når som helst trekke det tilbake. Tilbaketrekking påvirker ikke lovligheten av behandling som er gjort før samtykket ble trukket.

For å bruke dine rettigheter kan du kontakte oss på . Vi svarer normalt innen 30 dager. Vi kan be om at du bekrefter identiteten din før vi behandler en henvendelse.

9. Informasjonssikkerhet

Vi har etablert tekniske og organisatoriske tiltak for å beskytte personopplysninger mot uautorisert tilgang, endring, sletting og spredning. Dette omfatter blant annet tilgangsstyring etter «need to know»-prinsippet, tofaktorautentisering (2FA/MFA), kryptering i overføring og hvile, samt regelmessig sikkerhetskopiering. Ved bruk av KI-verktøy er Privacy Mode aktivert, og det legges ikke klientdata eller personopplysninger inn i verktøyene. Rutinene er dokumentert i vår interne IT-policy.

10. Klage til Datatilsynet

Dersom du mener at vår behandling av personopplysninger ikke er i samsvar med regelverket, kan du klage til Datatilsynet. Vi oppfordrer deg likevel til å kontakte oss først, slik at vi kan oppklare eventuelle misforståelser. Du finner kontaktinformasjon og veiledning på datatilsynet.no.

11. Endringer i personvernerklæringen

Vi kan oppdatere denne personvernerklæringen ved endringer i behandlingen av personopplysninger eller i regelverket. Gjeldende versjon er alltid tilgjengelig på denne siden, og «sist oppdatert»-datoen øverst viser når den sist ble endret.

12. Kontakt

Har du spørsmål om denne personvernerklæringen eller om hvordan vi behandler personopplysninger, kan du kontakte oss på .