Personvernerklæring

1. Innledning

2. Samling av personopplysninger, formål og grunnlag

3. Bruk av personopplysninger til markedsføring og personalisering; formål og grunnlag for behandling

4. Vask og beriking av data

5. Oppbevaring og lagring av personopplysninger

6. Deling av personopplysninger

7. Dine rettigheter

8. Kontaktinformasjon

Denne personvernerklæringen forklarer hvordan og når, vi samler inn, bruker og deler informasjon om deg, og hvilket juridisk behandlingsgrunnlag som ligger til grunn for behandlingen.

Behandlingsansvar

Bloom Oslo AS («Bloom») (Org.nr. 994 973 754) er behandlingsansvarlig for denne nettsiden.

Vi behandler i hovedsak opplysninger om deg i følgende tilfeller:

• Du har sendt oss en henvendelse

• Du representerer en av våre kunder

• Du har meldt deg på eller deltatt på et av våre arrangementer

• Du deltar i våre konkurranser

• Du abonnerer på vårt nyhetsbrev

• Du har søkt jobb hos oss

• Du har kontaktet en av våre ansatte per e-post eller har en forretningsforbindelse med Bloom

• Du er partner eller leverandør til Bloom

• Du besøker våre nettsider

Vi kan også motta opplysninger om deg fra andre i følgende tilfeller:

1. Vi leverer tjenester til en av våre kunder der dine persondata er registrert

2. Vi bistår våre kunder med rådgivning eller vurderinger av deres innhentede persondata

3. Når vi samarbeider med partnere i felles prosjekter, der vi har delt behandlingsansvar, eller er databehandler.

Vi bruker hovedsakelig persondata i følgende sammenhenger:

• Direkte markedsføring

• Profilering og analyse

• Digital annonsering med personkobling

• Webannonsering og statistikk

• Håndtering og kommunikasjon rundt våre arrangementer

• Kundeoppfølging og salgssammenheng

• Forhindre misbruk av tjenestene våre

• Vask av data

• Der det er nødvendig når det gjelder inngåtte avtaler

Du har sendt oss en henvendelse

Henvendelser gjennom våre nettsider, eller til en av våre kundeansvarlige, kan medføre at vi oppretter et kontaktkort for å følge opp prosessen med deg og din bedrift i den perioden dette er relevant. Dersom relasjonen ikke skulle utvikle seg til et kundeforhold vil vi slette denne dataen etter rimelig tid. Rimelig tid er her vurdert til 12 måneder, da dette representerer gjengse salgsprosesser i vår bransje.

• Opplysninger vi samler: Navn, telefonnummer, e-postadresse, stilling og arbeidsgiver.

• Formål: Dialog på bakgrunn av henvendelse.

• Juridisk grunnlag: GDPR Artikkel 6 1 f). Behandlingen er nødvendig for å gjøre tiltak på den registrertes anmodning.

Du representerer en av våre kunder

Dersom du representerer en av våre kunder, lagrer vi data på deg i forbindelse med kunderelasjonen. Grunnlaget for denne behandlingen er din rolle hos din arbeidsgiver og avtalen inngått mellom selskapene.

• Opplysninger vi samler: Navn, telefonnummer, e-postadresse, stilling, rolle og arbeidsgiver.

• Formål: Ordrebehandling, levering, fakturering og kundeservice.

• Juridisk grunnlag: GDPR Artikkel 6 1 b). Oppfyllelse av avtale du er del i.

Du har meldt deg på eller deltatt på et av våre arrangementer eller konkurranser

Når du deltar på våre arrangementer eller konkurranser, behandler vi informasjon du oppgir for å administrere deltakelsen. Opplysninger om allergier behandles konfidensielt og slettes kort tid etter arrangementet. Dersom vi deler deltakerlister med medarrangører, informerer vi om dette, samt formål, i påmeldingen.

• Opplysninger vi samler: Navn, telefonnummer, e-postadresse, stilling, arbeidsgiver, matpreferanser, allergier og andre hensyn vi må ta som du oppgir.

• Formål: Gjennomføring av arrangement og kontakt i etterkant.

• Juridisk grunnlag: GDPR Artikkel 6. 1 b). I tilfeller vi deler kundedata med medarrangører med formål å kontakte deg i ettertid vil det være samtykke; GDPR Artikkel 6. 1 a).

Du abonnerer på vårt nyhetsbrev

Dersom du abonnerer på våre nyhetsbrev vil det at vi lagrer informasjon være nødvendig for å sende deg nyhetsbrev samt hvordan du interagerer med våre nyhetsbrev. Dette inkluderer hvilke lenker du trykker på og om du åpner nyhetsbrevet.

Det juridiske grunnlaget for behandlingen er GDPR artikkel 6 nr. 1 bokstav a)

Du har søkt jobb hos oss

Bloom behandler jobbsøknader til Bloom Activation gjennom portalen TeamTailor.

For øvrig behandler Bloom kun jobbsøknader gjennom rekrutteringsbyråer og deres portaler, og de vil være behandlingsansvarlig. I de tilfeller vi likevel mottar jobbsøknader via e-post vil disse slettes i e-postsystem og lagres midlertid i SharePoint så lenge det er relevant, og med tilgang kun for de det er naturlig for, og med søkers samtykke.

Det juridiske grunnlaget for behandlingen er GDPR artikkel 6 nr. 1 bokstav f)

Du har kontaktet en av våre ansatte per e-post

Vi benytter e-post for å utføre våre arbeidsoppgaver. E-post vi har mottatt skal slettes når de ikke lenger er nødvendige å lagre. I praksis innebærer dette at slik e-post vanligvis ikke skal lagres lenger enn omtrent ett år uten grunnlag for dette. Grunnlag for å lagre lenger kan være salgsprosesser, eksisterende kunde- eller partnerrelasjoner eller annet som er relevant for vårt daglige arbeid.

Vi ber om at personopplysninger ikke sendes ukryptert per e-post til oss utover de personopplysninger som naturlig sendes i klartekst ved utsendelse av e-post. Bloom tillater ikke mottak av store datamengder gjennom ukrypterte løsninger som e-post. Kontakt din Bloom kontaktperson dersom du har behov for å sende store mengder persondata til oss.

Vi skanner all inn- og utgående e-post for virus og skadevare for å sikre integriteten, konfidensialiteten og tilgjengeligheten i våre systemer som behandler personopplysninger.

• Juridisk grunnlag og opplysninger vi samler vil være situasjonsbestemt avhengig av kontekst og formål.

Du er partner eller leverandør til Bloom

Vår instruks er å samle inn og behandle personopplysninger som kun er strengt nødvendig for formålet.

• Opplysninger vi samler: Navn, stillingstittel, arbeidsadresse, e-postadresse, og telefonnummer. Det kan også være finansiell informasjon nødvendig for transaksjoner og regnskap.

• Juridisk grunnlag: GDPR Artikkel 6. 1 b), c) eller f) avhengig av kontekst og formål.

Du har tidligere vært kunde eller leverandør hos oss

Data relevant for tidligere kundeforhold lagres i den periode dette enten kreves av lovgivning i forbindelse med regnskap, eller i den grad dette er styrt av avtaler mellom bedriftene som har inngått avtale med oss. I den grad dokumentasjon er nødvendig etter avsluttet kundeforhold beholder vi denne dataen. Dette gjelder også partnerskap eller leverandørforhold.

• Juridisk grunnlag: GDPR Artikkel 6. 1 f) og hvis lovkrav; c)

Du besøker våre nettsider

Bruk av webserverlogger og besøksstatistikk

For å kontinuerlig forbedre vår nettside og tilby relevant innhold til våre besøkende, samler vi inn og analyserer data fra vår webserver. Dette inkluderer informasjon som:

• Sidene som besøkes på vår nettside

• Søkeordene som brukes på vår nettside

• Dato og tidspunkt for besøk

• Teknisk informasjon om enheten som brukes, slik som operativsystem og nettlesertype

Vår praksis er å anonymisere IP-adressene til våre besøkende umiddelbart ved innsamling. Dette sikrer at informasjonen vi samler inn ikke kan brukes til å identifisere deg som enkeltperson. De resterende dataene vi samler inn, gir oss verdifull innsikt som hjelper oss å forstå hvordan våre nettsider brukes, slik at vi kan gjøre forbedringer og tilpasse innholdet til våre brukeres behov.

All statistikk og analyse er basert på aggregerte data og anses som anonym, noe som betyr at informasjonen ikke kan knyttes til enkeltpersoner og derfor ikke regnes som personopplysninger under gjeldende personvernlovgivning.

Behandlingsgrunnlaget for generering av anonym statistikk er personvernforordningen artikkel 6 nr. 1 bokstav f).

Informasjonskapsler:

Vår nettside benytter informasjonskapsler (cookies) for å forbedre din brukeropplevelse og samle inn data om hvordan du interagerer med nettsiden vår. Informasjonskapsler er små tekstfiler som blir lagret på din enhet ved besøk på vår nettside, og de hjelper oss å huske dine preferanser og tidligere handlinger.

Du kan når som helst velge å deaktivere informasjonskapsler gjennom innstillingene i din nettleser. Vær imidlertid oppmerksom på at dette kan påvirke nettsidens funksjonalitet.

Informasjonskapslene vi bruker kan kategoriseres som følger:

Nødvendige/Tekniske informasjonskapsler: Disse er essensielle for at du skal kunne navigere på nettsiden og bruke dens funksjoner, som for eksempel å logge inn eller huske hva som er i handlekurven din. Bruken av disse er basert på vår berettigede interesse i å sikre en stabil og sikker drift av nettsiden.

Funksjonelle informasjonskapsler:

Disse informasjonskapslene forbedrer brukeropplevelsen ved å huske innstillinger og valg, som språkpreferanser eller tilpasninger av grensesnittet. De er ikke strengt nødvendige for at nettstedet skal fungere, men gjør bruken mer smidig og tilpasset.

Analyse-informasjonskapsler: Disse informasjonskapslene hjelper oss å forstå og forbedre vår nettside ved å samle informasjon om hvordan besøkende bruker den. Ditt samtykke til disse innhentes gjennom en samtykke-popup.

Annonserings-informasjonskapsler og Deling med tredjeparter: Disse informasjonskapslene brukes for målrettede annonser, for å dele informasjon med tredjeparter for å optimalisere annonser og for å gjøre analyse. Disse tredjepartene er Google, Facebook og LinkedIn. Ditt samtykke til disse innhentes gjennom en samtykke-popup. Uten dette samtykket vil du fortsatt kunne se annonser fra oss på andre plattformer, men de vil ikke være basert på din personlige data fra våre nettsider.

Merk: Samtykke til bruk av informasjonskapsler kan du når som helst trekke tilbake. Vi er forpliktet til å respektere dine valg og beskytte din personlige informasjon i henhold til gjeldende personvernlover.

Det juridiske behandlingsgrunnlaget er GDPR Artikkel 6 1) f) for nødvendige informasjonskapsler og for analyse-, annonserings- og tredjepartsinformasjonskapsler er det Artikkel 6 1) a).

Skjema og påmeldingsløsninger

På våre nettsider er det mulig å bruke ulike registreringsskjema enten tilknyttet arrangementer, booke tjenester eller for å bli kontaktet. Dersom du gir oss data her, vil vi i den grad det er nødvendig for de overnevnte behov behandle persondata om deg. Vi behandler de data som du oppgir i skjema. I tillegg så gir en av våre skjemaløsninger også lokasjons- og opprinnelse-data. Dette er derimot data vi ikke lagrer og behandler.

Det juridiske behandlingsgrunnlaget er GDPR Artikkel 6 1) b).

Direkte markedsføring:

Er du kunde hos oss sender vi deg nyhetsbrev basert på avtalen mellom våre selskap. Er du ikke kunde sender vi nyhetsbrev og annen digital kommunikasjon basert på dine innhentede samtykker.

• Formål: Å informere deg om våre tjenester og faglige råd og tips.

• Juridisk grunnlag: Det juridiske behandlingsgrunnlaget er GDPR Artikkel 6 1) f) iht markedsføringsloven 15 (3) for kunder a) for øvrige abonnenter.

Profilering og analyse

Bloom ønsker i noen sammenhenger å tilby en mer personlig og tilpasset opplevelse innen markedsføring, kommunikasjon, og våre tjenestetilbud. For å oppnå dette, kan vi anvende informasjon som ditt navn, kontaktdata, ditt kundeforhold med Bloom, din bruk av våre tjenester, og annen informasjon du har delt med oss. Denne praksisen, kjent som profilering, vil kun forekomme når det er rimelig å forvente det. Vårt mål er å utføre grundige analyser og segmentering for å bedre forstå dine interesser og behov. Dette tillater oss å identifisere de mest relevante målgruppene for vår kommunikasjon, slik at vi kan tilby deg den mest verdifulle og tilpassede opplevelsen.

Det rettslige grunnlaget for behandlingen er GDPR artikkel 6 nr. 1 f) for kunder og deltakere på våre arrangementer.For øvrige vil grunnlaget være GDPR artikkel 6 nr. 1 a).

Du kan be om en begrensing av profilering basert på dine kundedata til profilering, samt reservere deg i de situasjoner det er mulig.

Digital annonsering med kundekobling

Har du takket ja til digital annonsering, f.eks. når du ble NAF-medlem, vil vi kunne annonsere i digitale nettverk ved at vi gjør såkalt kundelistematching med e-post og mobilnummer som eneste datapunkt. Hvis du senere velger å trekke tilbake ditt samtykke til digital annonsering, gjør vi oppmerksom på at det kan oppstå forsinkelser før endringen trer i kraft i nettverkene våre.

Vi kan bruke tvilling-analyse for å identifisere potensielle nye kunder med liknende interesser og behov som våre eksisterende medlemmer. Formålet med behandlingen er å nå nye kunder og utvide vår kundebase og grunnlaget for behandlingen er iht. GDPR artikkel 6 nr. 1 f) Berettiget interesse. Dette gjelder kun medlem som har samtykket til digital annonsering basert på sin profil, og tvilling-analyse ses som en naturlig utvidelse av dette formålet, og er i tillegg ikke direkte rettet mot den registrerte.

For tiden annonser vi i følgende nettverk: Meta (Facebook) og Linkedin. Det juridiske grunnlaget for behandlingen er GDPR artikkel 6 nr. 1 a)

Ønsker du å fjerne samtykke til digital annonsering gjøres det ved å kontakte oss på hei@bloomoslo.no.

Webanalyse og retargeting

Vi bruker analyseverktøy og annonseringstjenester for å forstå hvordan våre nettsider brukes, forbedre brukeropplevelsen og vise relevante annonser.

Behandlingsgrunnlaget for anonym besøksstatistikk er personvernforordningen artikkel 6 nr. 1 bokstav f) (berettiget interesse). Dersom du har gitt aktivt samtykke til bruk av cookies for analyse og annonsering, behandler vi data i samsvar med artikkel 6 nr. 1 bokstav a).

Hvilke verktøy og tjenester som benyttes, samt hvordan du kan administrere dine samtykker, finner du i vårt cookiebanner. Vi bruker tidvis tredjepartstjenester som:

• Google Analytics (besøksanalyse)

• Google Ads (målrettet annonsering)

• Meta (annonsesporing og målretting)

• LinkedIn (målrettet annonsering)

Du kan når som helst justere dine valg via vår cookie-samtykkeløsning eller direkte i innstillingene til disse tjenestene.

Vask av data: I henhold til Personvernsforordningens artikkel 5 d) skal personopplysninger være korrekte og oppdaterte, og det må gjøres tiltak i henhold til dette. Bloom oppdaterer derfor fra tid til annen våre kontaktdata i mottakerdatabase med informasjon tilgjengelig fra offentlige registre der det finnes gyldig behandlingsgrunnlag.

Det rettslige grunnlaget for behandlingen er GDPR artikkel 6 nr. 1 bokstav f).

Beriking av data: Som utgangspunkt beriker vi ikke med annen informasjon enn den som våre kunder selv har gitt. Men i tilfeller hvor vi mangler primære kontaktdata på kunder, kan det være vi beriker kundeprofil med helt grunnleggende data; navn, mobilnummer, samt rolle hos kunde (daglig leder eller styreverv) med informasjon tilgjengelig fra offentlige registre. Det rettslige grunnlaget for behandlingen vil da være GDPR artikkel 6 nr. 1 bokstav f).

Våre systemer er primært driftet på servere innenfor EØS, men i enkelte tilfeller kan data bli behandlet utenfor EØS, for eksempel ved systemvedlikehold eller supporttjenester levert av våre eksterne leverandører.

Når vi behandler personopplysninger på vegne av våre kunder, skjer dette alltid i henhold til en databehandleravtale mellom partene. I tilfeller hvor data behandles utenfor EØS, krever vi at databehandleren enten:

• Er sertifisert under EU-US Data Privacy Framework (DPF), eller

• Har inngått EU-kommisjonens standardavtaler for overføring av personopplysninger (SCCs) med nødvendige supplerende tiltak.

Vi vurderer regelmessig våre databehandlere og overføringsmekanismer for å sikre at dine opplysninger behandles i samsvar med gjeldende personvernlovgivning.

Vi deler ikke personopplysningene dine videre til andre med mindre det foreligger et lovlig grunnlag for en slik deling.

Der vi benytter databehandlere for å behandle personopplysninger på våre vegne, inngår vi nødvendige avtaler for å ivareta informasjonssikkerheten i alle ledd av behandlingen.

Følgende selskap er i dag sentrale når dine opplysninger behandles. Formål står kort beskrevet i parentes. En mer detaljert beskrivelse av bruken av de ulike underleverandørene, og tilhørende behandlingsgrunnlag er beskrevet i punkt 3.

• Hubspot (CRM-system for oppfølging av kunder og prospects)

• LinkedIn (annonsering)

• Meta (digital annonsering med CRM-kobling)

• Google (annonsering og analyse)

• Heroku (Strapi CMS og webanalyse)

• Croeso (påmeldingskjemaløsning)

• TeamTailor (rekrutteringsplattform)

• Motimate (ansattplattform for Bloom Activation).

Du har følgende rettigheter i henhold til GDPR:

• Innsyn: Du kan be om en kopi av personopplysningene vi behandler om deg (Art. 15).

• Retting: Du kan be oss korrigere feilaktige eller ufullstendige opplysninger (Art. 16).

• Sletting: Du kan be om sletting av personopplysninger som ikke lenger er nødvendige (Art. 17).

• Begrensning av behandling: Du kan be oss begrense behandlingen av dine opplysninger i visse situasjoner (Art. 18).

• Dataportabilitet: Du kan be om å få utlevert personopplysninger du har gitt oss, i et strukturert, maskinlesbart format (Art. 20).

• Protestere mot behandling: Du kan protestere mot behandling basert på berettiget interesse eller direkte markedsføring (Art. 21).

• Automatiserte avgjørelser og profilering: Du har rett til å ikke være underlagt en avgjørelse som kun er basert på automatisert behandling, dersom denne har rettslige eller vesentlige konsekvenser for deg (Art. 22).

Dersom du har spørsmål om denne personvernerklæringen, kan du kontakte Lasse Reiersen-Gravdal, på lasse.reiersen-gravdal@bloomoslo.no. Han har ansvaret for utøvelsen av vårt personvernarbeid.

Dersom du ikke er fornøyd med vår håndtering av din forespørsel, kan du eskalere saken til vårt personvernombud via info@aheadgroup.no eller klage til Datatilsynet. Merk henvendelsen med "Personvern" for raskest mulig behandling.

Gjelder henvendelsen din behandling vi gjør på vegne av våre mange kunder, ber vi deg kontakte dem først, så vil de henvende seg videre til oss i tråd med våre avtaler. Dette gjør at din henvendelse blir behandlet så raskt som mulig.