Personvernerklæring

Innledning

Med følgende personvernerklæring ønsker vi å informere deg om hvilke typer personopplysninger (heretter også kort kalt «data») vi behandler, til hvilke formål og i hvilken utstrekning. Personvernerklæringen gjelder for all behandling av personopplysninger vi utfører, både i forbindelse med levering av våre tjenester og særlig på våre nettsider, i mobilapplikasjoner samt i forbindelse med eksterne nettilstedeværelser, som f.eks. våre profiler i sosiale medier (heretter samlet kalt «nettilbudet»).

Innholdsfortegnelse

• Innledning
• Behandlingsansvarlig
• Oversikt over behandlinger
• Relevante rettsgrunnlag
• Sikkerhetstiltak
• Databehandling i tredjeland
• Kontakt
• Levering av nettilbudet og webhosting
• Sletting av data
• Endringer og oppdateringer av personvernerklæringen
• De registrertes rettigheter
• Begrepsdefinisjoner

Behandlingsansvarlig

G. Baumann GmbH
Welsches, 1
88239, Wangen, BW

Autoriserte representanter: Giuliano Baumann
E-postadresse: info@gbaumann.com

Oversikt over behandlinger

Følgende oversikt oppsummerer typene av behandlede data og formålene med behandlingen og viser til de berørte personene.

Typer behandlede data

• Stamdata (f.eks. navn, adresser).
• Innholdsdata (f.eks. tekstinndata, fotografier, videoer).
• Kontaktopplysninger (f.eks. e-post, telefonnumre).
• Meta-/kommunikasjonsdata (f.eks. enhetsinformasjon, IP-adresser).
• Bruksdata (f.eks. besøkte nettsider, interesse for innhold, tilgangstider).

Kategorier av registrerte

• Kommunikasjonspartnere.
• Brukere (f.eks. nettstedsbesøkende, brukere av nettjenester).

Formål med behandlingen

• Kontaktforespørsler og kommunikasjon.

Relevante rettsgrunnlag

I det følgende informerer vi om rettsgrunnlagene i personvernforordningen (GDPR) som vi behandler personopplysninger på grunnlag av. Vær oppmerksom på at nasjonale personvernregler i ditt eller vårt bosted- og etableringsland kan gjelde i tillegg til GDPR-bestemmelsene.

• Oppfyllelse av kontrakt og forhåndskontraktuelle forespørsler (Art. 6 nr. 1 bokstav b GDPR) - Behandlingen er nødvendig for å oppfylle en kontrakt som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før inngåelse av kontrakt.
• Berettigede interesser (Art. 6 nr. 1 bokstav f GDPR). - Behandlingen er nødvendig for å ivareta de berettigede interessene til den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter som krever vern av personopplysninger veier tyngre.

Nasjonale personvernregler i Tyskland: I tillegg til personvernbestemmelsene i personvernforordningen gjelder nasjonale personvernregler i Tyskland. Dette inkluderer særlig loven om beskyttelse mot misbruk av personopplysninger ved databehandling (Bundesdatenschutzgesetz – BDSG). BDSG inneholder særregler om rett til innsyn, rett til sletting, innsigelsesrett, behandling av særlige kategorier av personopplysninger, behandling for andre formål og overføring samt automatisert individuell beslutningstaking inkludert profilering. Videre regulerer den databehandling for ansettelsesformål (§ 26 BDSG), særlig med hensyn til etablering, gjennomføring eller avslutning av arbeidsforhold og de ansattes samtykke. I tillegg kan delstatlige personvernlover komme til anvendelse.

Sikkerhetstiltak

Vi treffer egnede tekniske og organisatoriske tiltak i samsvar med lovkravene, under hensyntaken til det tekniske nivået, implementeringskostnadene og arten, omfanget, omstendighetene og formålene med behandlingen samt de ulike sannsynlighetene for og omfanget av trusler mot fysiske personers rettigheter og friheter, for å sikre et beskyttelsesnivå som er tilpasset risikoen.

Tiltakene omfatter særlig sikring av konfidensialitet, integritet og tilgjengelighet av data gjennom kontroll av fysisk og elektronisk tilgang til dataene samt tilgang til, inndata for, videreformidling av og sikring av tilgjengeligheten av dataene og separasjon av dem. Vi har dessuten innført prosedyrer som sikrer utøvelse av de registrertes rettigheter, sletting av data og reaksjoner på datatrusler. Videre tar vi hensyn til vern av personopplysninger allerede ved utvikling og valg av maskinvare, programvare og prosedyrer i henhold til prinsippet om innebygd personvern og personvern som standard.

SSL-kryptering (https): For å beskytte dataene dine som overføres via vårt nettilbud, benytter vi SSL-kryptering. Du gjenkjenner krypterte forbindelser på prefikset https:// i adresselinjen i nettleseren din.

Databehandling i tredjeland

Dersom vi behandler data i et tredjeland (dvs. utenfor Den europeiske union (EU) eller Det europeiske økonomiske samarbeidsområdet (EØS)), eller behandlingen skjer i forbindelse med bruk av tjenester fra tredjeparter eller utlevering eller overføring av data til andre personer, organer eller selskaper, skjer dette kun i samsvar med lovkravene.

Med forbehold for uttrykkelig samtykke eller kontraktuelt eller lovpålagt nødvendig overføring behandler vi, eller lar vi behandle, data i tredjeland kun med et anerkjent beskyttelsesnivå, herunder US-behandlere sertifisert under «Privacy Shield», eller på grunnlag av særskilte garantier, f.eks. kontraktuell forpliktelse gjennom såkalte standardvernklausuler fra EU-kommisjonen, sertifiseringer eller bindende interne personvernregler (Art. 44 til 49 GDPR, EU-kommisjonens informasjonsside: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_de .)

Kontakt

Når du tar kontakt med oss (f.eks. via kontaktskjema, e-post, telefon eller sosiale medier), behandles opplysningene fra de henvendende personene i den utstrekning dette er nødvendig for å besvare kontaktforespørslene og eventuelle ønskede tiltak.

Besvarelse av kontaktforespørsler innenfor rammen av kontraktsmessige eller forhåndskontraktuelle forhold skjer for å oppfylle våre kontraktsmessige forpliktelser eller for å besvare (for)kontraktuelle forespørsler, og for øvrig på grunnlag av berettigede interesser i å besvare forespørslene.

• Behandlede datatyper: Stamdata (f.eks. navn, adresser), kontaktopplysninger (f.eks. e-post, telefonnumre), innholdsdata (f.eks. tekstinndata, fotografier, videoer).
• Berørte personer: Kommunikasjonspartnere.
• Formål med behandlingen: Kontaktforespørsler og kommunikasjon.
• Rettsgrunnlag: Oppfyllelse av kontrakt og forhåndskontraktuelle forespørsler (Art. 6 nr. 1 bokstav b GDPR), berettigede interesser (Art. 6 nr. 1 bokstav f GDPR).

Levering av nettilbudet og webhosting

For å kunne tilby nettilbudet vårt sikkert og effektivt benytter vi tjenestene til én eller flere webhostingleverandører, fra hvis servere (eller servere de administrerer) nettilbudet kan hentes. Til disse formålene kan vi benytte infrastruktur- og plattformtjenester, datakapasitet, lagringsplass og databasetjenester samt sikkerhets- og tekniske vedlikeholdstjenester.

Dataene som behandles i forbindelse med levering av hostingtilbudet kan omfatte alle opplysninger om brukerne av nettilbudet vårt som oppstår i forbindelse med bruk og kommunikasjon. Dette inkluderer regelmessig IP-adressen, som er nødvendig for å kunne levere innholdet i nettilbud til nettlesere, og alle inndata som gjøres i nettilbudet vårt eller fra nettsider.

E-postutsendelse og -hosting: Webhostingtjenestene vi benytter, omfatter også utsendelse, mottak og lagring av e-poster. Til disse formålene behandles adressene til mottakere og avsendere samt andre opplysninger vedrørende e-postutsendelse (f.eks. de involverte tjenesteleverandørene) og innholdet i de respektive e-postene. Ovennevnte data kan dessuten behandles for å oppdage SPAM. Vi ber om at det tas i betraktning at e-poster på Internett i prinsippet ikke sendes kryptert. E-poster krypteres vanligvis under transporten, men ikke (med mindre en såkalt ende-til-ende-krypteringsmetode benyttes) på serverne som de sendes fra og mottas på. Vi kan derfor ikke påta oss ansvar for overføringsvegen for e-poster mellom avsenderen og mottaket på vår server.

Innsamling av tilgangsdata og loggfiler: Vi selv (henholdsvis vår webhostingleverandør) samler inn data for hvert tilgang til serveren (såkalte serverloggfiler). Serverloggfilene kan inneholde adressen og navnet på de hentede nettsidene og filene, dato og klokkeslett for henting, overførte datamengder, melding om vellykket henting, nettlesertype og versjon, brukerens operativsystem, referrer-URL (den tidligere besøkte siden) og som regel IP-adresser og den forespørrende leverandøren.

Serverloggfilene kan dels brukes til sikkerhetsformål, f.eks. for å unngå overbelastning av serverne (særlig ved misbruksangrep, såkalte DDoS-angrep), og dels for å sikre kapasitetsutnyttelse av serverne og deres stabilitet.

• Behandlede datatyper: Innholdsdata (f.eks. tekstinndata, fotografier, videoer), bruksdata (f.eks. besøkte nettsider, interesse for innhold, tilgangstider), meta-/kommunikasjonsdata (f.eks. enhetsinformasjon, IP-adresser).
• Berørte personer: Brukere (f.eks. nettstedsbesøkende, brukere av nettjenester).
• Rettsgrunnlag: Berettigede interesser (Art. 6 nr. 1 bokstav f GDPR).

Sletting av data

Dataene vi behandler, slettes i samsvar med lovkravene så snart samtykkene som tillater behandling, trekkes tilbake, eller andre tillatelser bortfaller (f.eks. dersom formålet med behandlingen av disse dataene har bortfalt, eller de ikke lenger er nødvendige for formålet).

Dersom dataene ikke slettes fordi de er nødvendige for andre og lovlig tillatte formål, begrenses behandlingen til disse formålene. Det vil si at dataene sperres og ikke behandles for andre formål. Dette gjelder f.eks. data som må oppbevares av handels- eller skattemessige årsaker, eller hvis lagring er nødvendig for å gjøre gjeldende, utøve eller forsvare rettslige krav eller for å beskytte rettighetene til en annen fysisk eller juridisk person.

Ytterligere informasjon om sletting av personopplysninger kan også gis i de enkelte personvernmerknadene i denne personvernerklæringen.

Endringer og oppdateringer av personvernerklæringen

Vi ber deg om å jevnlig holde deg informert om innholdet i vår personvernerklæring. Vi tilpasser personvernerklæringen så snart endringer i databehandlingen vi utfører gjør dette nødvendig. Vi informerer deg så snart endringene krever en handling fra din side (f.eks. samtykke) eller en annen individuell varsling.

De registrertes rettigheter

Som registrert har du ulike rettigheter i henhold til GDPR / personvernforordningen, som særlig følger av Art. 15 til 18 og 21 GDPR:

• Innsigelsesrett: Du har rett til, av grunner som skyldes din særskilte situasjon, når som helst å gjøre innsigelse mot behandling av personopplysninger om deg som skjer på grunnlag av Art. 6 nr. 1 bokstav e eller f GDPR; dette gjelder også for profilering basert på disse bestemmelsene. Dersom personopplysninger om deg behandles for direkte markedsføring, har du rett til når som helst å gjøre innsigelse mot behandlingen av personopplysninger om deg for slike markedsføringsformål; dette gjelder også for profilering i den utstrekning den er knyttet til slik direkte markedsføring.
• Rett til tilbakekalling av samtykke: Du har rett til å trekke tilbake gitt samtykke når som helst.
• Rett til innsyn: Du har rett til å kreve bekreftelse på om de aktuelle dataene behandles, og til innsyn i disse dataene samt til ytterligere informasjon og kopi av dataene i samsvar med lovkravene.
• Rett til retting: Du har, i samsvar med lovkravene, rett til å kreve utfylling av opplysninger om deg eller retting av uriktige opplysninger om deg. you.
• Rett til sletting og begrensning av behandling: Du har i samsvar med lovkravene rett til å kreve at opplysninger om deg slettes umiddelbart, eller alternativt å kreve begrensning av behandlingen av dataene i samsvar med lovkravene.
• Rett til dataportabilitet: Du har rett til å motta opplysninger om deg som du har gitt oss, i et strukturert, alminnelig og maskinlesbart format i samsvar med lovkravene, eller å kreve at de overføres til en annen behandlingsansvarlig.
• Klage til tilsynsmyndighet: Du har dessuten i samsvar med lovkravene rett til å klage til en tilsynsmyndighet, særlig i den medlemsstaten der du er bosatt, har din arbeidsplass eller det påståtte bruddet fant sted, dersom du mener at behandlingen av personopplysninger om deg er i strid med GDPR.

Begrepsdefinisjoner

I dette avsnittet finner du en oversikt over begreper som brukes i denne personvernerklæringen. Mange av begrepene er hentet fra loven og er særlig definert i Art. 4 GDPR. De lovfestede definisjonene er bindende. De følgende forklaringene skal derimot primært tjene til forståelse. Begrepene er sortert alfabetisk.

• Personopplysninger: «Personopplysninger» er alle opplysninger som knytter seg til en identifisert eller identifiserbar fysisk person (heretter «den registrerte»); en fysisk person anses som identifiserbar dersom vedkommende direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator som et navn, et identifikasjonsnummer, lokaliseringsdata, en nettidentifikator (f.eks. informasjonskapsler) eller ett eller flere særlige kjennetegn som uttrykker den fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identiteten til denne fysiske personen.
• Behandlingsansvarlig: Som «behandlingsansvarlig» betegnes den fysiske eller juridiske personen, offentlige myndigheten, etaten eller et annet organ som alene eller sammen med andre avgjør formålene med og midlene for behandlingen av personopplysninger.
• Behandling: «Behandling» er enhver operasjon eller rekke av operasjoner som gjøres med eller uten bruk av automatiserte midler i forbindelse med personopplysninger. Begrepet er vidt og dekker praktisk talt enhver håndtering av data, enten det er innsamling, evaluering, lagring, overføring eller sletting.