Personvernerklæring for Stift AS

1. Behandlingsansvarlig

Stift AS er behandlingsansvarlig for behandlingen av personopplysninger som innhentes og behandles via nettstedet vårt, www.stift.no, og i tilknytning til tjenester vi tilbyr våre kunder.

Kontaktinformasjon til Stift AS:

Stift AS, org.nr. 934 059 883

Postadresse: Postboks 25, 2151 Årnes

E-postadresse: moritz@stift.no

Mobil: (+47) 90 22 70 00

Kontaktskjema: www.stift.no/kontakt-oss

2. Formål med behandlingen

Stift er en autorisert tilbyder av virksomhetstjenester etter hvitvaskingsloven § 42, med spesialisering i salg av hylleselskaper og tilknyttede tjenester. Vi behandler personopplysninger for følgende formål:

1. Administrasjon og leveranse av tjenester:
   1. Gjennomføring av bestillinger (kjøp av hylleselskaper og tilhørende tjenester).
   2. Oppfyllelse av krav etter hvitvaskingsloven (bl.a. kundekontroll/KYC).
   3. Fakturering, regnskapsføring og revisjon.
   4. Behandling av øvrig relevant korrespondanse (e-post, telefon, chat o.l.).
2. Kontakt og kommunikasjon:
   1. Kommunikasjon med eksisterende og potensielle kunder, leverandører eller samarbeidspartnere.
   2. Oppfølging av henvendelser, service og kundestøtte.
3. Juridiske forpliktelser:
   1. Oppfyllelse av lovpålagte krav, eksempelvis lagring av dokumentasjon i henhold til regnskapslov og hvitvaskingslov.
   2. Eventuelle lovpålagte rapporteringsforpliktelser til relevante myndigheter.
4. Markedsføring:
   1. Utsendelse av informasjon om nye tjenester eller arrangementer, i den grad dette er tillatt etter gjeldende regelverk.
   2. Administrasjon av samtykke til slike utsendelser der det kreves, jf. personvernforordningen art. 6 nr. 1 bokstav a, samt markedsføringslovens regler.

3. Rettslig grunnlag for behandlingen

Vi behandler personopplysninger på følgende rettslige grunnlag:

1. Samtykke (GDPR art. 6 nr. 1 bokstav a)
   • Der hvor vi ber deg eksplisitt samtykke, f.eks. til nyhetsbrev og markedsføring.
   • Du kan når som helst trekke tilbake et gitt samtykke (jf. artikkel 7 nr. 3).
2. Avtaleoppfyllelse (GDPR art. 6 nr. 1 bokstav b)
   • Når behandlingen er nødvendig for å oppfylle en avtale, eller gjennomføre tiltak før en avtale inngås, eksempelvis behandling av data i forbindelse med kjøp av hylleselskaper.
3. Oppfyllelse av rettslige forpliktelser (GDPR art. 6 nr. 1 bokstav c)
   • Hvitvaskingsloven pålegger oss ulike forpliktelser knyttet til kontroll av kunders identitet (KYC).
   • Bokføringsloven og annen regnskapslovgivning stiller krav til lagring av fakturaer og bilag.
4. Berettiget interesse (GDPR art. 6 nr. 1 bokstav f)
   • Behandlingen kan være nødvendig for formål som omfatter vår forretningsdrift, eksempelvis ved besvarelse av henvendelser, sikring av IT-systemer eller oppfølging av kunder.
   • I slike tilfeller vurderer vi om vår interesse i behandlingen overstiger de registrertes personverninteresser.

4. Hvilke personopplysninger behandles

Typen personopplysninger vi kan behandle omfatter (ikke uttømmende):

• Identitetsinformasjon: Navn, fødselsnummer/nasjonalt ID-nummer, og eventuell kopi av legitimasjon dersom nødvendig etter hvitvaskingsloven.
• Kontaktinformasjon: E-postadresse, telefonnummer, postadresse, arbeidssted/firma.
• Kundedata: Kjøpshistorikk, fakturainformasjon, betalingsopplysninger.
• Korrespondanse: E-post, chat, telefonlogger, eller annen kommunikasjon i tilknytning til vår kundeservice.
• Teknisk informasjon: IP-adresse, nettleserinformasjon, informasjonskapsler (cookies) på nettstedet, o.l. for statistikk og drift av siden.

I henhold til hvitvaskingsloven kan vi i visse tilfeller innhente tilleggsdokumentasjon for å bekrefte identitet og reell rettighetshaver, eksempelvis passkopi, firmaattester eller annen bekreftende dokumentasjon.

5. Lagring og sletting

Vi lagrer personopplysninger så lenge det er nødvendig for formålene oppgitt i denne erklæringen eller som følger av annen gjeldende lovgivning. Eksempler:

• Dokumentasjon som inngår i vårt regnskaps- og bokføringsmateriale lagres i henhold til regnskapslovgivningens oppbevaringsplikt (normalt 5 år, eventuelt lengre dersom påkrevd).
• Opplysninger innhentet i henhold til hvitvaskingsloven lagres så lenge loven krever.
• Korrespondanse og øvrige opplysninger slettes eller anonymiseres når formålet med behandlingen er oppfylt og det ikke lenger er rettslige krav om oppbevaring.

6. Hvordan vi deler personopplysninger

1. Interne formål
   • Tilganger til personopplysninger er begrenset til ansatte som trenger opplysningene for å utføre sine arbeidsoppgaver (need-to-know-prinsippet).
2. Tredjeparter og underleverandører
   • Revisorer, regnskapsførere og andre rådgivere kan få begrenset tilgang til personopplysninger når dette er nødvendig for å utføre regnskaps- og revisjonsoppgaver.
   • IT-leverandører som leverer drift av nettsiden, serverløsninger eller støttesystemer (typisk skyløsninger, e-posttjenester). I slike tilfeller sikrer vi at leverandøren forplikter seg til å behandle personopplysninger i samsvar med gjeldende lovgivning (jf. databehandleravtaler i tråd med GDPR art. 28).
   • Bank og betalingsformidlere i forbindelse med betalingstransaksjoner.
   • Andre offentlige myndigheter når det er lovpålagt, eksempelvis ved rapporteringskrav til Finanstilsynet eller andre tilsynsorgan, samt påtalemyndigheter eller domstoler ved lovhjemlet krav.
3. Overføring til tredjeland (land utenfor EØS)
   • Dersom det oppstår behov for overføring av personopplysninger til tredjeland, vil vi sikre lovlig grunnlag for overføringen, jf. GDPR kapittel V (art. 44–49).
   • I praksis vil vi benytte EU-Kommisjonens standard personvernbestemmelser eller andre relevante overføringsmekanismer dersom data overføres.

7. Dine rettigheter

Som registrert har du følgende rettigheter i henhold til personopplysningsloven og personvernforordningen:

7.1 Rett til innsyn (art. 15)

Du har rett til innsyn i hvilke personopplysninger vi behandler om deg, samt informasjon om hvordan opplysningene behandles.

7.2 Rett til retting (art. 16)

Du kan kreve at uriktige eller ufullstendige opplysninger om deg rettes eller suppleres.

7.3 Rett til sletting (art. 17)

Du har rett til å få opplysninger om deg slettet dersom vilkårene i regelverket er oppfylt (f.eks. når opplysninger ikke lenger er nødvendige).

7.4 Rett til begrensning av behandling (art. 18)

Du kan be oss begrense behandlingen av dine personopplysninger når bestemte vilkår er oppfylt.

7.5 Rett til dataportabilitet (art. 20)

Du kan i visse situasjoner ha rett til å få personopplysninger om deg i et strukturert, alminnelig anvendt og maskinlesbart format, og få disse overført til en annen tjenesteleverandør.

7.6 Rett til å protestere (art. 21)

Du kan protestere mot behandling som skjer på grunnlag av berettiget interesse (jf. GDPR art. 6 nr. 1 bokstav f), og mot profilering eller direkte markedsføring.

7.7 Rett til å trekke tilbake samtykke (art. 7 nr. 3)

Når grunnlaget for behandlingen er samtykke, kan du når som helst trekke dette tilbake. Tilbakekalling av samtykke påvirker ikke lovligheten av behandlingen som allerede er utført.

Dersom du ønsker å utøve dine rettigheter, kan du kontakte oss via e-post, brev eller telefon, jf. kontaktinformasjon under punkt 1.

8. Informasjonskapsler (cookies)

På nettstedet vårt benyttes det informasjonskapsler (cookies) for å forbedre brukeropplevelsen, levere relevante tjenester og samle inn statistikk:

• Nødvendige cookies: Benyttes for at nettstedet skal fungere (eksempelvis innlogging).
• Analytiske cookies: Kan benyttes for trafikkmålinger og bruksanalyse, f.eks. Google Analytics.
• Funksjonelle cookies: Bidrar til husking av preferanser.

Du kan i nettleserinnstillingene selv endre/administrere bruk av cookies. Se veiledning for din nettleser for mer informasjon. Noen funksjoner på nettstedet kan imidlertid bli begrenset eller ikke fungere om du blokkerer eller sletter cookies.

9. Informasjonssikkerhet

Vi ivaretar konfidensialitet, integritet og tilgjengelighet av personopplysninger ved hjelp av egnede tekniske og organisatoriske sikkerhetstiltak, jf. personvernforordningen art. 32. Dette kan omfatte:

• Tilgangsstyring (passordrutiner, tilgangsbegrensning).
• Kryptering av datatrafikk (SSL/HTTPS).
• Sikkerhetskopiering, brannmur, antivirus og andre mekanismer for å hindre uautorisert tilgang eller lekkasje.
• Rutiner for håndtering og varsling av eventuelle brudd på personopplysningssikkerheten (jf. art. 33–34).

10. Klage til tilsynsmyndigheten

Dersom du mener vår behandling av personopplysninger er i strid med gjeldende personvernlovgivning, kan du kontakte oss for avklaring eller rette en formell klage til Datatilsynet (tilsynsmyndigheten i Norge), jf. GDPR art. 77.

Kontaktinformasjon til Datatilsynet:

Datatilsynet, org.nr. 974 761 467

Postadresse: Postboks 458 Sentrum, 0105 Oslo

E-postadresse: postkasse@datatilsynet.no

Telefon: (+47) 22 39 69 00

11. Endringer i personvernerklæringen

Oppdateringer av personvernerklæringen kan forekomme. Ved vesentlige endringer vil vi varsle via nettstedet vårt eller andre hensiktsmessige kanaler. Oppdatert personvernerklæring vil alltid være tilgjengelig på www.stift.no/personvern.

Dette dokumentet ble sist oppdatert 16. mars 2025.

Oslo, 16. mars 2025

Moritz André Myrseth

Daglig leder, Stift AS