Personvernerklæring

Mercell konsernet og dets datterselskaper (Mercell) respekterer privatlivet ditt. Denne personvernerklæringen beskriver din rett til personvern og hvordan vi samler inn og behandler informasjon om deg når du bruker vår portal. 

Mercell er et norskbasert konsern med flere juridiske enheter, forretningsprosesser, ledelsesstrukturer og tekniske systemer som krysser landegrenser. Mercell leverer programvare og tjenester innen anskaffelser til offentlige og private virksomheter (Kunder) i Europa og USA. Vår europeiske virksomhet er underlagt europeisk personvernlovgivning, inkludert personvernforordningen (GDPR). Krav til denne personvernerklæring følger GDPR art. 13 og 14.

Alle strategiske beslutninger om personvern i Mercell treffes på konsernnivå under tilsyn av konsernets Compliance and Security Officer.

Hvordan og når gjelder personvernerklæringen

Denne personvernerklæringen gjelder for alle forretningsprosesser i Mercell og for alle Mercells nettsteder og domener, skytjenester og nettforum samt Mercell-merkede nettsteder (Mercell-nettsteder). Tjenestespesifikke bestemmelser finnes i bruksvilkårene for den aktuelle tjenesten, databehandleravtalen eller annen tilsvarende informasjon for den aktuelle tjenesten.

Personvernerklæringen gir informasjon om behandling av personopplysninger som skjer som ledd i at Mercell bestemmer formålet og virkemidlene for behandlingen av personopplysningene som innsamles (Mercell opptrer som behandlingsansvarlig). Den gir også informasjon om behandling av personopplysninger som Mercell utfører på vegne av kundene våre basert på deres instruksjoner (kunden som behandlingsansvarlig og Mercell som databehandler). 

Personopplysninger er informasjon som kan identifisere deg som person, for eksempel en e-postadresse, gateadresse, telefonnummer eller lignende. Formålet med behandling av disse personopplysningene vil for eksempel være administrering av kundeforhold eller kommunikasjon med jobbsøkere.

Vennligst ikke bruk Mercells nettsteder eller tjenester hvis du ikke samtykker i hvordan vi behandler personopplysninger i henhold til denne personvernerklæringen.

 

Hvem behandler vi personopplysninger om

Mercell behandler personopplysninger om jobbsøkere, kontaktpersoner og brukere av tjenester eller produkter knyttet til kundene våre. I tillegg behandler vi personopplysningene om personer som representerer mulige kunder, som f.eks tar kontakt med oss via Mercell-nettsteder eller andre kanaler. Hvordan vi behandler denne typen personopplysninger kan du lese mer om i den delen som omhandler Mercell som behandlingsansvarlig.

Mercell behandler også personopplysninger på vegne av Kundene våre med kunden som behandlingsansvarlig og Mercell som databehandler. Hvordan vi behandler denne typen personopplysninger kan du lese mer om i den delen som omhandler Mercell som databehandler.

I denne personvernerklæringen kan registrerte personer også omtales som personer eller deg.

Mercell som behandlingsansvarlig

Når et datterselskap i Mercell bestemmer formålet med og behandlingen av dine personopplysninger er dette selskapet i Mercell å anse som behandlingsansvarlig. Dette inkluderer scenarier der Mercell samler inn personopplysninger i sammenheng med at du er jobbsøker, kontaktperson for en Kunde eller mulig Kunde eller når du er en bruker av våre tjenester. Behandlingsgrunnlaget vårt vil være GDPR Artikkel 6, enten bokstav b) (avtale) eller bokstav f) (legitim interesse).  

 

Hva er dine rettigheter

Grunnleggende rettigheter

Du har rett til innsyn i dine personopplysninger og kan be om en oversikt over de personopplysningene vi lagrer om deg. Du kan også ha rett til å ta med deg dine personopplysninger fra en virksomhet til en annen (dataportabilitet). Du har også rett til å be om at Mercell korrigerer feil i dine personopplysninger. Dersom du har en konto hos Mercell på et Mercell-nettsted, kan dette vanligvis gjøres under "din konto" eller "din profil" på det aktuelle Mercell-nettstedet eller tjenesten.

Videre har du rett til å be om sletting av personopplysninger og til å begrense eller motsette deg behandling av dine personopplysninger i henhold til denne personvernerklæringen eller andre tjenestespesifikke vilkår.

Kontakt oss på compliance@mercell.com angående punktene i dette avsnittet 

Du har også rett til å sende inn en klage til Datatilsynet vedrørende vår behandling av personopplysningene dine.

 

Rett til å velge bort markedsføringskommunikasjon

Du har rett til å melde fra om at du ikke ønsker å motta markedsføring fra Mercell og kan gjøre dette ved enten å:

(a) Følg instruksjonene for reservasjon inkludert i markedsføringskommunikasjon

(b) Endre innstillinger på din profilside/konto hos Mercell

(c) Kontakte oss via marketing.commerce@mercell.com

(d) Ved å bruke Mercells Subscription Manager

Vær oppmerksom på at selv om du velger ikke å motta markedsføringskommunikasjon fra Mercell, kan du likevel motta administrativ kommunikasjon som for eksempel bestillingsbekreftelser eller varsler som er nødvendige for å administrere kontoen din eller de tjenestene som vi tilbyr kundene våre.

Hvordan beskytter og lagrer Mercell dine personopplysninger

Slik beskytter vi personopplysningene dine

Mercell tar den tilliten du og Kunder viser oss på alvor. Mercell er opptatt av å hindre uautorisert tilgang til og videreformidling av personopplysninger. Mercell skal sørge for at dine personopplysninger behandles konfidensielt, opprettholde integriteten til personopplysningene, samt sikre at de er tilgjengelige i henhold til gjeldende personvernlovgivning.

Som en del av våre forpliktelser benytter vi organisatoriske, tekniske og fysiske prosedyrer og tiltak for å beskytte personopplysninger vi behandler, sett i lys av hvilken type informasjon og hvilken risiko du og våre Kunder utsettes for ved et eventuelt avvik. 

Vi tror på å bygge en sterk bedriftskultur der respekt for og bevissthet rundt personvern blant våre ansatte er grunnleggende for å sikre lovlig behandling og beskyttelse av personopplysninger og data. Følgende tiltak er spesielt viktige i denne forbindelse:

Organisatoriske tiltak

  • I Mercell har vi etablert en Compliancefunksjon med ansvar bl.a. for etterlevelse av personvernregelverket, som gir råd i konkrete saker som handler om personvern.
  • Det er obligatorisk for alle ansatte i Mercell å gjennomgå opplæring innenfor personvern
  • Mercell fører protokoll over sine behandlingsaktiviteter og vurderer risiko ved behandlingen av personopplysninger
  • Vi inngår databehandleravtaler med underleverandører som behandler personopplysninger
  • VI har etablert intern databehandleravtale og protokoll over utveksling av persondata mellom legale enheter i konsernet.

 

Tekniske tiltak

  • Klassifisering av personopplysninger for å sikre at sikkerhetstiltakene som implementeres står i forhold til vurderingen av risiko
  • Bruk av kryptering og pseudonymisering som risikoreduserende tiltak
  • Begrense tilgang til personopplysninger til de som trenger tilgang for å oppfylle plikter i henhold til tjenesteavtaler eller lovgivning
  • Overføring til og lagring i sikre og frittstående driftsmiljøer som kun personer autorisert av Mercell eller underdatabehandlere har adgang til.
  • Brukere må verifisere identitet før de får adgang til og kan foreta endringer i egen konto.
  • Bruk av systemer som oppdager, avhjelper, forhindrer og rapporterer avvik

Fysiske tiltak

  • Lokalene er beskyttet med tilgangskontroll og videoovervåkningssystemer

Hvor lenge behandler vi dine personopplysninger

Mercell behandler bare dine personlige opplysninger så lenge det er nødvendig for det formålet som kommuniseres til deg eller Kunden i forbindelse med innsamlingen av personopplysningene, samtidig som vi tar hensyn til vårt behov for å kunne svare på spørsmål fra deg eller Kunden, løse tvister, samt overholde juridiske forpliktelser i henhold til gjeldende lover. Dette betyr at Mercell kan beholde dine personopplysninger i en rimelig periode etter din og vår Kundes siste samhandling med oss.

Når personopplysningene vi har samlet inn ikke lenger er nødvendig for å oppfylle formålet bak at de ble samlet inn, sletter vi dem. Vi kan behandle data for statistiske formål. I slike tilfeller vil data bli pseudonymisert eller anonymisert.

Mercell som databehandler

Mercell tilbyr mange forskjellige tjenester til kundene våre. De fleste av disse tjenestene innebærer behandling av kundedata, herunder personopplysninger. Formålet med behandlingen av personopplysningene bestemmes av kundene våre, som da er behandlingsansvarlig, Mercell er databehandler og Mercell behandler kun personopplysninger på vegne av Kunden. Forholdet mellom Kunden som behandlingsansvarlig og Mercell som databehandler skal reguleres av en databehandleravtale.

Kundens og Mercells forpliktelser

Når Kunden opptrer som behandlingsansvarlig skal denne i henhold til gjeldende personvernlovgivning sørge for det rettslige grunnlaget for behandling av personopplysningene. Videre skal kunden vurdere og etablere eierskap til risikoen ved behandlingen av personopplysningene. Et annet viktig aspekt ved Kundens ansvar som behandlingsansvarlig er å overholde informasjonsplikten overfor de registrerte personene.

Mercells behandling inngår i Kundens ansvar som behandlingsansvarlig, i den forstand at Mercells tjenester er del av den behandlingen av personopplysninger som Kunden må påse er i samsvar med gjeldende personvernlovgivning. Når Mercell behandler personopplysninger på vegne av Kundene sine må vi derfor gjøre dette i samsvar med personvernlovgivningen som gjelder for databehandlere.

Kort sagt er både Kunden og Mercell forpliktet til å samarbeide for å sikre personvernet til de registrerte personene. Mercell skal gi den informasjonen som er nødvendig for at Kunden skal kunne overholde gjeldende personvernlovgivning.

 

Underleverandører og overføring av personopplysninger

Mercell bruker underleverandører til å behandle personopplysninger og kan i den forbindelse overføre våre, dine eller kundedata til andre selskaper innenfor eller utenfor EU og EØS. Disse underleverandørene er vanligvis leverandører av skytjenester eller andre IT tjenester.

Ved bruk av underleverandører vil Mercell inngå en databehandleravtale for å beskytte dine rettigheter til personvern i henhold til gjeldende personvernlovgivning og for å oppfylle våre forpliktelser overfor Kundene. Dersom underleverandører befinner seg utenfor EU og EØS, eller annet land akseptert av EU-kommisjonen i henhold til Schrems II-dommen, vil Mercell sørge for at det inngås gyldige overføringsmekanismer med disse på dine eller kundens vegne, ved å benytte ordninger godkjent av EU kommisjonen. 

Du er alltid velkommen til å be om en oversikt over og mer detaljert informasjon om Mercells underleverandører, herunder dokumentasjon av det juridiske grunnlaget for internasjonale overføringer.

Endringer i denne erklæringen

Dersom vi endrer personvernerklæringen legger vi ut den reviderte utgaven her med en oppdatert revisjonsdato. Vi oppfordrer deg til å lese gjennom erklæringen jevnlig. Dersom vi gjør vesentlige endringer i personvernerklæringen vår som vesentlig endrer vår personvernspraksis, kan vi også varsle deg på annen måte, for eksempel ved å sende ut en e-post eller legge inn et varsel på selskapets nettsider og/eller sosiale medier, før endringene trer i kraft.

Den siste oppdateringen av denne personvernerklæringen ble gjort 18. februar 2021.

 

Slik kontakter du oss

Vi vil gjerne høre din mening. Dersom du har kommentarer til eller spørsmål om personvernerklæringen vår eller andre spørsmål knyttet til personvern, ber vi deg kontakte oss på compliance@mercell.com. Du kan også sende oss en skriftlig henvendelse via post til Mercell Holding AS, Compliance, Askekroken 11, 0277 Oslo, Norge. Alle henvendelser behandles konfidensielt.