Introduksjon og definisjoner

Ivaretakelse av personvernet til den enkelte ansatte er svært viktig for Hoff Høstmark AS. Dette informasjonsskrivet redegjør for Hoff Høstmarks prosedyrer og metoder for å sikre at den enkelte medarbeiders personvern ivaretas i våre undersøkelser.

Med personopplysninger menes opplysninger eller vurderinger som kan knyttes til en enkeltperson.
Med oppdragsgiver menes virksomheten Hoff Høstmark AS gjennomfører undersøkelse eller prosjekt for.
Med deltaker menes den eller de ansatte hos Oppdragsgiver det lagres personopplysninger om.


Formål og grunnlag for behandling av personopplysninger

I forbindelse med gjennomføring av undersøkelse (arbeidsmiljøundersøkelse, lederevaluering, faktaundersøkelse o.l.) vil Hoff Høstmark motta og/eller samle inn personopplysninger fra oppdragsgiver, og vil behandle personopplysningene på vegne av oppdragsgiver. Hoff Høstmark opptrer som databehandler for de mottatte/innsamlede personopplysningene, og har underskrevet egen databehandleravtale med oppdragsgiver. Som databehandler håndterer Hoff Høstmark utelukkende de mottatte/innsamlede personopplysningene på vegne av oppdragsgiver og etter instruks fra oppdragsgiver. Hoff Høstmark vil således ikke behandle de mottatte/innsamlede personopplysningene til noe annet formål, herunder, men ikke begrenset til, formål i egen eller tredjeparts interesse. Hoff Høstmark vil imidlertid være berettiget til å behandle innsamlede data til andre formål etter at opplysningene er anonymiserte. Anonymisering av data skjer i tråd med Datatilsynets retningslinjer.


Personopplysninger som lagres

Hoff Høstmark vil motta, samle inn og lagre personopplysninger som beskriver deltakernes organisasjonstilhørighet. Dette inkluderer tilhørighet i avdelinger, team eller prosjektgrupper, samt kontaktinformasjon, som navn, e-postadresse, telefonnummer.

Hoff Høstmark vil samle inn opplysninger knyttet til den enkelte deltakers synspunkter på virksomhetens arbeidsmiljø o.l., disse opplysningene utgjør resultater fra undersøkelsen.

Personopplysninger utover dette vil være gjenstand for en interesseavveining (som beskrevet i Personopplysningsloven § 8 – bokstav f), hvor oppdragsgiver kan ha berettiget interesse av å kartlegge ulike gruppers opplevelse av arbeidsmiljøet. Dette kan være nødvendig for å avdekke systematiske variasjoner mellom grupper, som muliggjør tiltak rettet mot spesifikke grupper i oppfølgingsarbeidet og på den måten lar oppdragsgiver (arbeidsgiver) sikre et fullt ut forsvarlig arbeidsmiljø (som beskrevet i Arbeidsmiljøloven § 2-2).

Hoff Høstmark vil kunne samle inn/motta sosiodemografiske variabler, det vil si personopplysninger som ansattes alder, kjønn, stillingskategori, yrkesgruppe og liknende. Hoff Høstmark vil i samarbeid med oppdragsgiver vurdere nødvendigheten av å inkludere slike variabler i undersøkelsen. Disse personopplysningene brukes kun til analyser på et overordnet nivå i virksomheten (som organisasjons- og/eller avdelingsnivå), hvor den enkeltes anonymitet er ivaretatt.

Hoff Høstmark behandler utelukkende ikke-sensitive personopplysninger på vegne av oppdragsgiver, og er unntatt meldeplikt til Datatilsynet etter personopplysningsloven § 31 – første ledd. Lagring og behandling av personopplysninger som inngår i oppdragsgivers personalregister er heller ikke pålagt konsesjon.


4. Personopplysningenes opphav

Alle personopplysninger Hoff Høstmark mottar og/eller samler inn kommer fra oppdragsgivers egne personalregister eller direkte fra deltakerne som svar på spørsmål i en undersøkelse.


Sikkerhet

Hoff Høstmark tar som databehandler de nødvendige tekniske og organisatoriske sikkerhetsforanstaltninger mot at personopplysningene tilfeldig eller ulovlig slettes, går tapt eller forringes, samt mot at de blir tilgjengelige for uvedkommende, misbrukes eller på annen måte behandles i strid med lov om behandling av personopplysninger, mens personopplysningene behandles av Hoff Høstmark.

Datainnsamling

Hoff Høstmark bruker Questback for innhenting av data. Hoff Høstmarks tilgang er passordbeskyttet og utilgjengelig for alle andre enn Hoff Høstmarks ansatte. Questbacks lagringsservere er ISO-sertifisert for administrasjon av informasjonssikkerhet (ISO/IEC 27001), og all behandling av personopplysninger skjer i samsvar med EUs forordning for personvern 2016/679 (erstatter EUs datalagringsdirektiv 95/46/EF i mai 2018), personopplysningsloven og personopplysningsforskriften. Hoff Høstmarks kontrakt med Questback sikrer at all behandling og lagring av oppdragsgivers data skjer i samsvar med overnevnte lovverk og Questbacks sikkerhetserklæring. Etter innsamlingen er avsluttet slettes dataene fra Questbacks systemer og lagres hos Hoff Høstmark.

Lagring av data

Hoff Høstmark lagrer innsamlede data på sikre servere hos skytjenesten Dropbox. Dropbox er ISO-sertifisert for administrasjon av informasjonssikkerhet (ISO 27001), skysikkerhet (ISO 27017) og personvern og datasikkerhet i skyen (ISO 27018). All lagring hos Dropbox skjer i tråd med EUs retningslinjer for personvern. Kun Hoff Høstmark har tilgang til data lagret hos Dropbox. Hoff Høstmarks avtale med Dropbox sikrer at all behandling og lagring av data skjer i tråd med europeiske og norske lover med forskrifter.

Lagring og deling av resultater i resultatportal

Hoff Høstmark deler resultater fra undersøkelsen med oppdragsgiver i Hoff Høstmarks resultatportal på nett. Oppdragsgiver har kun tilgang til et brukergrensesnitt, hvor de registrertes personopplysninger ikke er tilgjengelige, verken i kombinasjon med resultater fra undersøkelsen eller alene. Ingen enkeltindivider er identifiserbare i resultatmaterialet. Alle data i Hoff Høstmarks administrasjonsgrensesnitt og oppdragsgivers brukergrensesnitt er lagret på sikre servere, og er utilgjengelig for andre enn brukere med passordbeskyttet tilgang.


Anonymitet

Undersøkelsen gjennomføres anonymt, og alle deltakere forblir anonyme overfor oppdragsgiver og andre. Av hensyn til kvalitetssikringen av data er hver besvarelse unik og identifiserbar for Hoff Høstmark.

Hoff Høstmark genererer ikke resultater/rapporter for enheter med færre enn 5 respondenter, med mindre dette ønskes av samtlige respondenter i enheten og disse gir sitt uttrykkelige samtykke (gjelder kun i enheter med 3 eller 4 respondenter). Denne nedre grensen er i samsvar med retningslinjene satt av Norges markedsanalyseforening og ESOMAR (European Society for Opinion and Marketing Research). Alle visualiseringer og resultatfremstillinger ivaretar de registrertes anonymitet.


Konfidensialitet

Hoff Høstmark skal bevare taushet om alle personopplysninger og annen konfidensiell informasjon. Plikten til å bevare konfidensialitet gjelder også etter samarbeidsavtalens opphør. Analyse av data gjennomføres av kompetente konsulenter, som erkjenner sitt ansvar som databehandlere.


Varighet for lagring av personopplysninger

Hoff Høstmark og oppdragsgiver har avtalt at rådata fra prosjektet oppbevares i inntil tre år etter prosjektets gjennomføring med tanke på å kunne utføre nye beregninger av data, knytte svar på individnivå til relevante bakgrunnsdata osv. Etter tre år fjernes nøkkelen mellom svardata og personopplysninger, og slike nye beregninger av data vil da ikke være mulig.

Ved opphør av avtale

Ved opphør av avtale plikter Hoff Høstmark å slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv., som inneholder personopplysninger om deltakere hos oppdragsgiver. Dette gjelder også for eventuelle sikkerhetskopier. Hoff Høstmark vil skriftlig informere oppdragsgiver om at sletting og/eller destruksjon er foretatt.

Lagring av anonymiserte data

Dersom Hoff Høstmark anonymiserer de innsamlede data vil Hoff Høstmark være berettiget til å bruke de innsamlede dataene til egne formål, herunder til videreutvikling av Hoff Høstmarks produkter, benchmarkdata m.m. Hoff Høstmark garanterer i den forbindelse at deltakernes resultater ikke kan identifiseres, og at oppdragsgivers data og resultater utelukkende vil inngå som en delmengde av et større datasett. Anonymisering av data skjer i tråd med Datatilsynets retningslinjer.


Utlevering av personopplysninger

Hoff Høstmark vil ikke utlevere personopplysninger til en tredjepart eller oppdragsgiver (dersom oppdragsgiver ikke selv innehar personopplysningene), verken i kombinasjon med resultater fra undersøkelsen eller alene. Dersom oppdragsgiver ber om innsyn i datamaterialet for egne analyser er Hoff Høstmark ikke pliktig å utlevere personopplysninger om deltakerne, ettersom ansatte er lovet anonymitet. Hoff Høstmark vil derfor kun utlevere resultater etter avidentifisering.

Dersom deltaker ber om innsyn i egne personopplysninger vil Hoff Høstmark kunne oversende disse etter skriftlig godkjennelse fra behandlingsansvarlig hos Oppdragsgiver.


Deltakernes rettigheter

Deltakere har rett til å kreve innsyn, retting eller sletting av personopplysninger, informasjon om behandlingsgrunnlaget, og reservere seg eller motsette seg mot at personopplysningene deres behandles dersom behandlingsgrunnlaget ikke er oppfylt. Registrerte har også rett til å klage til Datatilsynet på behandling i strid med regelverk.

Hoff Høstmark plikter å svare deltakerne på henvendelser innen én måned.

Etter EUs forordning for personvern er retten til behandling av personopplysninger innfridd dersom minst ett av punktene under er oppfylt:

  1. deltakeren har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål,
  2. databehandling er nødvendig for oppfyllelse av en kontrakt deltakeren er part i,
  3. databehandling er nødvendig for oppfylle en rettslig forpliktelse,
  4. databehandling er nødvendig for å verne deltakerens eller en annen fysisk persons vitale interesser,
  5. databehandling er nødvendig for å utføre en oppgave i allmenhetens interesse eller utøve offentlig myndighet, eller
  6. databehandling er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre deltakerens interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger.

Enkeltpersoner kan reservere seg dersom:

  1. opplysningene behandles fordi det er nødvendig for å utføre en oppgave i allmenhetens interesse eller utøve offentlig myndighet (punkt 5 over).
  2. opplysningene behandles med grunnlag i en interesseavveining (punkt 6 over).
  3. formålet med behandlingen er direkte markedsføring.

Automatiserte avgjørelser

Personopplysninger vil ikke brukes til automatiserte avgjørelser.


Kontaktinformasjon til behandlingsansvarlige

Behandlingsansvarlig hos Hoff Høstmark kan nås via internansvarlig hos oppdragsgiver. Kontaktinformasjon til ansatte i Hoff Høstmark er også tilgengelig på nett.