Personvernerklæring for Norico Norge AS

1. Behandlingsansvarlig og kontaktinformasjon

Behandlingsansvarlig for personopplysningene som behandles etter denne erklæringen er:

Norico Norge AS
Organisasjonsnummer: 934 110 706
Fossegrenda 9, 7038 Trondheim

Henvendelser om personvern, eller ønske om å utøve dine rettigheter, kan rettes til:

E-post: post@norico.no
Telefon: 21 67 11 99

2. Hvilke personopplysninger vi behandler

Hvilke opplysninger vi behandler avhenger av forholdet du eller virksomheten du representerer har til oss. Vi kan behandle følgende kategorier av personopplysninger:

• Kontakt- og identitetsopplysninger – navn, rolle eller stilling, telefonnummer, e-postadresse og arbeidssted. Når det er nødvendig for å bekrefte identitet eller fullmakt i forbindelse med avtaleinngåelse, behandler vi også fødselsnummer.
• Avtale- og transaksjonsopplysninger – opplysninger om avtaler, bestillinger, produkter og tjenester, fakturaer, betalingsstatus, samt korrespondanse og henvendelser til kundeservice.
• Betalings- og kredittopplysninger – kontoopplysninger og opplysninger som er nødvendige for fakturering, betaling og vurdering av kredittverdighet.
• Bruks- og forbruksopplysninger – opplysninger knyttet til bruken av tjenestene du eller virksomheten har bestilt, herunder relevante måle-, forbruks- og trafikkdata for de aktuelle produktene.
• Tekniske opplysninger – IP-adresse, enhets- og nettleserinformasjon og lignende opplysninger som samles inn når du bruker våre nettsider eller digitale tjenester. Se punkt 9 om informasjonskapsler.
• Opplysninger om avtalesignering – dokumentasjon knyttet til elektronisk signering, herunder tidspunkt, identifikator og bekreftelse på gjennomført signering. Se punkt 6.

Vi ber deg ikke om sensitive personopplysninger (særlige kategorier) og oppfordrer deg til ikke å sende slike til oss.

3. Hvor opplysningene kommer fra

Vi innhenter personopplysninger fra følgende kilder:

• Deg eller virksomheten du representerer – når dere bestiller eller bruker våre tjenester, inngår avtale, fyller ut skjema eller på annen måte er i kontakt med oss.
• Offentlige registre – for eksempel Brønnøysundregistrene, for å bekrefte virksomhetens opplysninger og hvem som har fullmakt til å forplikte virksomheten.
• Tredjeparter som inngår i tjenesteleveransen – for eksempel leverandør av elektronisk signering, balanseansvarlig (for strøm), nettselskaper, sentrale markedsplattformer i kraftmarkedet og våre øvrige leverandører og samarbeidspartnere.
• Kredittopplysningsbyråer – når vi gjennomfører kredittvurdering før eller under et avtaleforhold.

4. Formål og behandlingsgrunnlag

Vi behandler personopplysninger for nærmere bestemte formål, og alltid med et gyldig behandlingsgrunnlag. De mest sentrale formålene er:

4.1 Inngå og oppfylle avtaler

For å inngå avtale, levere de avtalte tjenestene, fakturere, yte kundeservice og administrere kundeforholdet.
Behandlingsgrunnlag: Oppfyllelse av avtale, eller berettiget interesse i å betjene virksomheten du representerer (GDPR art. 6 nr. 1 bokstav b og f).

4.2 Identitetskontroll og avtalesignering

For å bekrefte identitet og fullmakt ved avtaleinngåelse, og for å sikre gyldig og etterprøvbar signering.
Behandlingsgrunnlag: Oppfyllelse av avtale og rettslig forpliktelse, samt berettiget interesse i å sikre etterprøvbarhet (GDPR art. 6 nr. 1 bokstav b, c og f). Behandling av fødselsnummer skjer der det er saklig behov og sikker identifisering krever det, jf. personopplysningsloven § 12.

4.3 Kredittvurdering og betalingsoppfølging

For å vurdere kredittverdighet, sikre korrekt fakturering og følge opp utestående krav.
Behandlingsgrunnlag: Berettiget interesse i å redusere kredittrisiko, og oppfyllelse av avtale (GDPR art. 6 nr. 1 bokstav b og f). Ved kredittvurdering mottar den registrerte gjenpartsbrev fra kredittopplysningsbyrået.

4.4 Kundeservice og kommunikasjon

For å besvare henvendelser og kommunisere om avtale- og driftsrelaterte forhold via telefon, e-post, SMS og andre kanaler.
Behandlingsgrunnlag: Oppfyllelse av avtale og berettiget interesse (GDPR art. 6 nr. 1 bokstav b og f).

4.5 Markedsføring

For å informere om og markedsføre våre produkter og tjenester til eksisterende kunder og relevante virksomheter. Se punkt 8 om dine valg.
Behandlingsgrunnlag: Berettiget interesse, eller samtykke der lovgivningen krever det (GDPR art. 6 nr. 1 bokstav a og f).

4.6 Drift, sikkerhet og forbedring av tjenestene

For å drifte og sikre våre systemer, forebygge misbruk, og forbedre og videreutvikle produkter og tjenester, normalt basert på avidentifiserte data der det er mulig.
Behandlingsgrunnlag: Berettiget interesse (GDPR art. 6 nr. 1 bokstav f).

4.7 Etterlevelse av lovpålagte krav

For å overholde regnskaps-, bokførings- og skattelovgivning og andre rettslige forpliktelser.
Behandlingsgrunnlag: Rettslig forpliktelse (GDPR art. 6 nr. 1 bokstav c).

5. Automatiserte avgjørelser og profilering

Vi treffer ikke avgjørelser utelukkende basert på automatisert behandling som har rettslig virkning for deg eller på tilsvarende måte i betydelig grad påvirker deg, uten at du blir informert om dette på forhånd og har rett til manuell behandling. Dersom vi skulle innføre slik behandling, vil vi informere særskilt om det og innhente nødvendig grunnlag.

6. Bruk av BankID og elektronisk signering

Ved inngåelse av avtaler benytter vi elektronisk signering med BankID gjennom en ekstern leverandør av signeringstjenester. I denne prosessen behandles opplysninger som er nødvendige for å bekrefte din identitet og for å dokumentere at signering er gjennomført, herunder navn, identifikator og tidspunkt for signering.

Signeringsleverandøren behandler opplysningene på våre vegne i henhold til databehandleravtale. Selve BankID-utstederen er selvstendig behandlingsansvarlig for sin del av behandlingen.

7. Deling av personopplysninger

Vi selger ikke personopplysninger. Vi deler opplysninger kun når det er nødvendig for å levere tjenestene, oppfylle rettslige forpliktelser eller ivareta berettigede interesser. Mottakere kan være:

• Databehandlere som leverer tjenester på våre vegne, for eksempel system- og IT-leverandører, leverandør av kunde- og ordresystem (CRM), regnskaps- og faktureringsleverandør, leverandør av nettsidedrift og hosting, leverandør av elektronisk signering, og leverandører av analyse- og annonseverktøy på nettsiden (se punkt 9). Disse behandler opplysninger etter våre instrukser og i henhold til databehandleravtale.
• Aktører som inngår i tjenesteleveransen og som er selvstendig behandlingsansvarlige for sin del, for eksempel balanseansvarlig, nettselskaper og sentrale markedsplattformer (for strøm), og nettverks- og abonnementsleverandører (for mobil og telefoni).
• Kredittopplysnings- og inkassobyråer ved kredittvurdering og oppfølging av betaling.
• Offentlige myndigheter når vi er rettslig forpliktet til å utlevere opplysninger.
• Rådgivere og eventuelle kjøpere i forbindelse med en virksomhetsoverdragelse, fusjon eller omorganisering.

En oppdatert oversikt over hvilke leverandører som behandler personopplysninger på våre vegne kan fås ved å kontakte oss på opplysningene i punkt 1.

8. Markedsføring og dine valg

Vi kan kontakte eksisterende kunder og relevante virksomheter med markedsføring av våre produkter og tjenester. Du kan når som helst reservere deg mot markedsføring fra oss ved å bruke avmeldingslenken i den enkelte henvendelsen eller ved å kontakte oss.

Du kan også reservere deg mot telefonsalg og adressert reklame gjennom Reservasjonsregisteret hos Brønnøysundregistrene.

9. Informasjonskapsler (cookies)

Når du besøker våre nettsider, samler vi inn opplysninger ved hjelp av informasjonskapsler og lignende teknologier. Informasjonskapsler er små tekstfiler som lagres på enheten din. Vi bruker tre kategorier:

• Nødvendige informasjonskapsler – kreves for at nettsiden skal fungere og kan ikke slås av. Disse settes uten samtykke.
• Analyse-informasjonskapsler – brukes til å forstå hvordan nettsiden brukes, slik at vi kan forbedre den. Vi benytter Google Analytics til dette formålet.
• Markedsførings-informasjonskapsler – brukes til å måle effekt av markedsføring og vise relevant annonsering. Vi benytter Meta Pixel til dette formålet.

Analyse- og markedsførings-informasjonskapsler settes kun dersom du har gitt samtykke til det i samtykkeløsningen på nettsiden. Du kan når som helst endre eller trekke tilbake samtykket ditt via samtykkeløsningen, og du kan i tillegg styre informasjonskapsler gjennom innstillingene i nettleseren din.

Når du samtykker til analyse- og markedsførings-informasjonskapsler, behandles opplysninger av henholdsvis Google og Meta som leverandører av disse verktøyene. Dette kan innebære overføring av personopplysninger til land utenfor EØS – se punkt 10. Behandlingsgrunnlaget for disse informasjonskapslene er samtykke (GDPR art. 6 nr. 1 bokstav a).

10. Overføring av personopplysninger utenfor EØS

Enkelte av våre leverandører kan behandle personopplysninger utenfor EØS. Når personopplysninger overføres til land utenfor EØS, sikrer vi et lovlig overføringsgrunnlag, for eksempel EU-kommisjonens adekvansbeslutning eller EUs standard personvernbestemmelser (SCC), samt nødvendige tilleggstiltak. Du kan be om mer informasjon om overføringer ved å kontakte oss.

11. Lagringstid

Vi lagrer personopplysninger så lenge det er nødvendig for å oppfylle formålene de ble samlet inn for, eller så lenge vi er pålagt å oppbevare dem etter lov. Når opplysningene ikke lenger er nødvendige, slettes eller anonymiseres de.

• Opplysninger knyttet til kundeforholdet oppbevares så lenge avtaleforholdet løper, og deretter så lenge det er nødvendig for å håndtere etterfølgende forhold, krav eller forpliktelser.
• Regnskaps- og transaksjonsdokumentasjon oppbevares i samsvar med bokføringsloven, som hovedregel i fem år.
• Opplysninger som behandles på grunnlag av samtykke, slettes ved tilbaketrekking av samtykket dersom det ikke foreligger annet grunnlag for fortsatt behandling.

12. Hvordan vi sikrer opplysningene

Vi har tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger mot uautorisert tilgang, endring, tap og misbruk. Dette omfatter blant annet tilgangsstyring, kryptering der det er hensiktsmessig, og krav til at våre leverandører har tilsvarende sikkerhetsnivå gjennom databehandleravtaler. Ved brudd på personopplysningssikkerheten har vi rutiner for å varsle Datatilsynet og berørte personer i samsvar med regelverket.

13. Dine rettigheter

Du har følgende rettigheter knyttet til personopplysningene vi behandler om deg:

• Innsyn – du kan be om informasjon om og en kopi av personopplysningene vi behandler om deg.
• Retting – du kan be om at uriktige eller ufullstendige opplysninger korrigeres.
• Sletting – du kan be om at opplysninger slettes når de ikke lenger er nødvendige, og det ikke foreligger en lovpålagt plikt til å oppbevare dem.
• Begrensning – du kan i visse tilfeller be om at behandlingen begrenses.
• Dataportabilitet – der behandlingen er basert på avtale eller samtykke, kan du be om å få utlevert opplysninger du har gitt oss i et maskinlesbart format.
• Innsigelse – du kan protestere mot behandling som er basert på berettiget interesse, herunder markedsføring.
• Tilbaketrekking av samtykke – der behandlingen er basert på samtykke, kan du når som helst trekke det tilbake, uten at det påvirker lovligheten av behandlingen før tilbaketrekkingen.

For å utøve rettighetene dine kan du kontakte oss på opplysningene i punkt 1. Vi besvarer henvendelsen så raskt som mulig og senest innen 30 dager. Av hensyn til personvern kan vi be om at du bekrefter identiteten din før vi behandler forespørselen.

14. Klage til Datatilsynet

Dersom du mener at vår behandling av personopplysninger ikke er i samsvar med regelverket, oppfordrer vi deg til først å kontakte oss, slik at vi kan se på saken. Du har også rett til å klage til Datatilsynet:

Datatilsynet, Postboks 458 Sentrum, 0105 Oslo
Nettside: www.datatilsynet.no

15. Endringer i personvernerklæringen

Vi kan oppdatere denne personvernerklæringen ved endringer i vår behandling av personopplysninger eller i regelverket. Den til enhver tid gjeldende versjonen er tilgjengelig på våre nettsider, med oppdatert dato øverst. Ved vesentlige endringer vil vi varsle på egnet måte.