Personvernerklæring

Sist oppdatert: 25.03.2020

 

Denne personvernerklæringen beskriver hvordan Throw No More AS (heretter «Leverandøren») samler inn og bruker personopplysninger. Målet med denne erklæringen er å gi en oversikt over selskapets behandling av personopplysninger.

Leverandøren er behandlingsansvarlig for behandlingen av personopplysninger gjennom nettstedet thrownomore.no, applikasjonen “Throw No More” (heretter omtalt som «Tjenesten») i AppStore® og Google Play® og for Leverandørens interne bruk av personopplysninger.

Ved spørsmål vedrørende Leverandørens behandling av personopplysninger kan Leverandøren kontaktes:

 

Throw No More
Org nr: 917 245 444
Kontaktskjema

 

1. Definisjoner

Personopplysninger: Opplysninger som direkte eller indirekte kan knyttes til en levende fysisk person. Eksempler på personopplysninger er navn, adresse, telefonnummer og e-postadresse. Informasjon om IP-adresse og brukeratferd ved bruk av tjenestene kan også etter omstendighetene utgjøre personopplysninger.

Avidentifiserte opplysninger: Personopplysninger som ikke kan spores tilbake til den
enkelte bruker.

Behandling: Behandling av personopplysninger omfatter all bruk av personopplysninger, for eksempel innhenting, overføring og lagring.

Behandlingsansvarlig: Den part som alene eller sammen med en annen part bestemmer formålet med og måten personopplysningene skal behandles. Den behandlingsansvarlige har det endelige ansvaret for å sikre at behandling skjer i samsvar med gjeldende lovgivning knyttet til håndtering av personopplysninger.

 

2. Brukernes rettigheter

Leverandøren skal svare på henvendelser fra brukere om innsyn eller andre rettigheter etter personopplysningsloven §§ 18, 22, 25, 26, 27 og 28 uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn, med mindre særlige forhold gjør det umulig å svare på henvendelsen innen denne fristen.

 

Dersom Leverandøren ikke kan svare på henvendelser innen fristen, skal det gis et foreløpig svar med opplysninger om årsaken til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

 

Brukere kan utøve rettighetene sine beskrevet under i dette kapittelet ved å bruke kontaktskjemaet. Eller sende en E-post til support@thrownomore.zendesk.com.

 

3. Hva slags opplysninger samler vi inn?

En detaljert angivelse av de ulike typene personopplysninger som samles inn, angis i det følgende.

 

3.1 Nettsidestatistikk

Leverandøren samler inn avidentifiserte opplysninger om besøkende på thrownomore.no ved hjelp av verktøyet Google Analytics. All brukerstatestikk slås sammen til en gruppe, og behandles ikke individuelt.

Formålet med dette er å utarbeide statistikk som brukes til å forbedre og videreutvikle innholdet på nettsidene, og gjøre brukeropplevelsen til brukerne bedre. Noen eksempler på hva leverandøren samler inn er;
● Antall besøkende på siden
● Nettsidebesøkenes varighet
● Hvilke nettsteder brukerne kommer fra
● Hvilke land de besøkende kommer fra

 

3.2 Informasjonskapsler

Nettstedet thrownomore.no benytter «cookies» (informasjonskapsler). En cookie er en liten tekstfil som blir lagret på brukerens enhet. Filen inneholder informasjon og blir blant annet brukt til å støtte brukeren av nettstedet og til statistikk. Det medfører ingen sikkerhetsrisiko for brukeren, og gjør at Leverandøren kan tilby brukerne en tjeneste som virker best mulig. Nettsiden bruker kun en tredjeparts «cookie», Google Analytics. Funksjonen kan slås av i de fleste nettlesere gjennom et menyvalg som «innstillinger», «sikkerhet» e.l.

 

3.3 Kontaktskjema
På thrownomore.no kan brukere kontakte Leverandøren via et kontaktskjema. Kundehenvendelser gjennom kontaktskjemaet på hjemmesiden og til e-post adressen support@thrownomore.zendesk.com behandles gjennom Zendesk. Zendesk er en kundebehandler-plattform som gjør det enklere for Leverandøren å holde oversikt over alle henvendelser. Leverandøren har eierskap og kontroll over dataene som lagres i plattformen, Zendesk eier ikke dataene.

En slik henvendelse vil lagres sammen med brukerens navn, telefonnummer, e-post og selskap. Personopplysningene som mottas fra kontaktskjemaet vil ikke bli benyttet til andre formål enn å besvare henvendelsen. Personopplysninger vil slettes innen 3 måneder etter at henvendelsen er besvart, dersom annet ikke avtales særskilt.

Leverandøren ber om at brukere ikke sender inn eller registrerer sensitiv informasjon.

Behandlingsgrunnlaget for bruk av kontaktskjemaet er personvernforordningen artikkel 6 nr. 1 bokstav a, altså samtykke. Brukeren kan når som helst trekke samtykket tilbake ved å ta kontakt med Leverandøren. At brukeren trekker sitt samtykke vil ikke påvirke lovligheten av behandlingen av personopplysninger som skjedde før samtykket ble trukket.

 

3.4 E-post
Leverandørens ansatte benytter e-post i alminnelig dialog internt, og med eksterne brukere. Den enkelte ansatte er ansvarlig for å slette meldinger som ikke lenger er aktuelle, og minst en gang hvert år gjennomgå og slette unødvendig innhold i e-posten. Ved fratreden slettes e-postkontoene, men enkelte relevante e-poster vil kunne bli overført til kollegaer. Sensitive personopplysninger sendes ikke per e-post.
Leverandørens e-postadresser støtter TLS-kryptering for å sikre e-postkommunikasjonen med brukere. De fleste mailtjenester støtter dette. Leverandøren ber likevel om at det ikke sendes sensitive personopplysninger eller beskyttelsesverdig informasjon per e-post, da Leverandøren ikke kan garantere at brukerens e-postleverandør støtter TLS.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater Leverandøren å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å sikre Tjenestens IKT-infrastruktur.

 

3.5 Opplysninger om jobbsøkere
Dersom en person søker på en stilling hos Leverandøren, er det nødvendig for Leverandøren å kunne behandle opplysninger om den personen for å vurdere søknaden. Alle stillingsøknader og personopplysninger tilknyttet stillingsøknader lagres i Leverandørens database i ett år, med mindre den registrerte ber om at den slettes.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 b) – behandlingen er nødvendig for å oppfylle en avtale den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse. Hvis ikke den registrerte oppgir disse opplysningene, eller motsier seg at de blir behandlet, kan ikke avtalen oppfylles.

Dersom søknaden inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget personvernforordningen artikkel 9 nr. 2 b) og h).

Leverandøren får også indirekte personopplysninger fra en ansatt dersom vedkommende har angitt noen som en referanse. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater Leverandøren å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.

 

3.6 For butikkene
I tråd med det beskrevet i brukervilkårene, fungerer Tjenesten slik at butikkene legger aktuelle varer inn i Tjenesten. Butikkene kan, valgfritt, få tilgang til dette ved å opprette en brukerprofil for å styre innholdet som publiseres i Tjenesten. Ved opprettelsen av brukerprofil kreves det:

● Navn
● E-post adresse
● Mobilnummer, for å muliggjøre 2-faktor pålogging med SMS kode
● Tilhørende butikk og kjede.

 

Det lagres ikke passord, da Tjenesten benytter seg av en type kryptografi som genererer en unik kode for hver bruker. Koden kan ikke reverseres og gjengi passordet.

Behandlingsgrunnlaget for behandling av personopplysninger i forbindelse med opprettelse av bruker i Tjenesten er personvernforordningen artikkel 6 nr. 1 bokstav a, altså samtykke. Brukeren kan når som helst trekke samtykket tilbake ved å slette brukerprofilen. At brukeren trekker sitt samtykke vil ikke påvirke lovligheten av behandlingen av personopplysninger som skjedde før samtykket ble trukket.

 

4. Leverandørens bruk av databehandlere

For å gi brukeren en bedre opplevelse krever tjenesten noe personlig identifiserbar informasjon. Informasjonen det bes om, blir på brukerens enhet og blir ikke samlet inn av Leverandøren.

Personvernerklæring/databehandleravtale fra tredjepartsleverandører som brukes av appen er lenken i underoverskriftene i det følgende. All data lagres i EU, og eies av Leverandøren.

 

4.1 Google Maps
Leverandøren benytter Google Maps, og tilhørende API, for å presentere aktuelle butikker i et kart. Brukerens posisjonsdata knyttes til den benyttede enhet. Leverandøren lagrer ingen annen informasjon om brukere av appen.

Brukernes personlige innstillinger i appen lagres lokalt på telefonen og er avidentifiserte opplysninger.

Det er kun siste kjente posisjon som behandles (alle foregående lokasjoner slettes), for å kunne gi brukeren oversikt over varer i det aktuelle området.

Behandlingsgrunnlaget for behandling av personopplysninger knyttet til lokasjonsdata er artikkel 6. nr. 1 b); behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse. Avtalen i dette tilfellet er

for Tjenesten. Dersom den registrerte ikke oppgir disse opplysningene, eller motsier seg at de blir behandlet, kan ikke avtalen oppfylles.

 

4.2 Google Firebase

Leverandøren benytter Google Firebase for å sende meldinger med oppdateringer. Dette er ikke synlige push-meldinger, men datameldinger som sendes til Tjenesten når innholdet skal oppdateres.

Behandlingsgrunnlaget for behandling av personopplysninger ved bruk av Google Firebase er personvernforordningen artikkel 6. nr. 1 b); behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse. Avtalen i dette tilfellet er brukervilkårene for Tjenesten. Dersom den registrerte ikke oppgir disse opplysningene, eller motsier seg at de blir behandlet, kan ikke avtalen oppfylles.

 

5. Hvor lenge lagrer Leverandøren personopplysninger

Leverandøren lagrer kun personopplysninger så lenge det er nødvendig for legitime formål eller for å levere tjenesten til brukerne, i tråd med gjeldende lovverk.

Leverandøren sletter all informasjon når brukeren sletter Tjenesten fra sin enhet eller brukeren ikke er lengre er aktiv. Tjenesten og tilhørende skytjenester er bygget på en slik måte at det ikke skal være behov for noe lagring av brukernes data. Tjenesten opererer kun i sesjoner, hvor man binder enhetens identifikasjonsnummer sammen med lokasjonsdata for å presentere relevant informasjon til brukeren ved bruk av Tjenesten, i tråd med det som fremgår av brukervilkårene. Så snart Tjenesten ikke lengre er i bruk, blir sesjonen terminert og personopplysninger i forbindelse med sesjonen slettet.

 

6. Dine rettigheter

Brukere av nettstedet thrownomore.no, Tjenesten og brukere berørt av Leverandørens interne bruk av personopplysninger har krav på:

● innsyn i egne opplysninger lagret av Leverandøren
● at uriktige eller ufullstendige opplysninger rettes, slettes eller suppleres
● å kunne bestride Leverandørens behandling av personopplysninger
● å kunne trekke tilbake samtykke
● retten til dataportabilitet; I den grad det er relevant, å kunne overføre data som Leverandøren har samlet inn under samtykke, til en annen løsning

 

Anmodninger skal besvares innen 30 dager.

 

7. Sikkerhet

Systemene gjennomgår kontinuerlig penetrasjonstesting basert på verktøy, dokumentasjon og metodologi fra OWASP (Open Web Application Security Project).

 

8. Tilsynsmyndighet

Datatilsynet i Norge fører tilsyn med Throw No More.
Innsigelser kan rettes til Datatilsynet under:

 

● Web: www.datatilsynet.no
● E-post: postkasse@datatilsynet.no
● Telefon: +47 22 39 69 00
● Postadresse: Postboks 8177 Dep., 0034 Oslo

 

 

Er du en som ønsker å spare penger samtidig som du reduserer matsvinn?

Er du en forhandler som ønsker å forbedre ditt miljøavtrykk ved å redusere matsvinn?