Personvernerklæring
MOMEK Group AS (MOMEK) leverer fabrikasjon-, vedlikehold-, modifikasjon-, konstruksjon- og ingeniørtjenester til våre kunder og i den forbindelse behandler vi personopplysninger der dette er nødvendig for å kunne yte våre tjenester.
Denne personvernerklæringen beskriver hvordan vi behandler personopplysninger og hvilke rettigheter enkeltpersoner har etter personopplysningsloven og personvernforordningen (GDPR) ved slik behandling.
Ved utøvelse av våre tjenester er MOMEK behandlingsansvarlig etter GDPR for behandlingen av personopplysninger. Vi behandler personopplysninger i henhold til regelverket og med fokus på sikkerhet. Vår adresse er:
Besøksadresse: Mo Industripark, 8626 Mo i Rana
Postadresse: Postboks 523, 8601 Mo i Rana
Epost: on.kemom@tsop
Telefon: +47 400 37 950
Organisasjonsnummer: NO 998 515 920 MVA
- Når behandler vi personopplysninger som behandlingsansvarlig?
MOMEK behandler personopplysninger når:-
- Vi yter tjenester til våre kunder, herunder kundeadministrasjon, produksjon og kunnskapsforvaltning
- Vi, i forbindelse med markedsføring, sender ut nyhetsbrev, e-post og annen kurs- eller markedsføringsaktivitet
- Vi administrerer ansatte, inkludert ansettelser og søknadsprosesser
- Vi benytter kommunikasjonsplattformer og nettsider, eller på annen måte er tilstede på plattformer som www.momek.no, Facebook, LinkedIn og YouTube.
- Vi benytter sikkerhetsløsninger for å avdekke, forhindre eller logge sikkerhetshendelser.
Behandling av personopplysninger knyttet til ansatte følger våre interne personvernrutiner.
-
- De registrerte vi behandler personopplysninger om og deres rettigheter
MOMEK er en servicebedrift primært for industrien, som fortrinnsvis yter produksjons- og vedlikeholdstjenester til våre kunder, og behandler derfor i utgangspunktet kun virksomhetsrelaterte opplysninger som ikke er personopplysninger. I enkelte tilfeller behandler vi likevel personopplysninger, slik som:- Kontaktpersoner hos våre kunder og motparter
- Kontaktpersoner hos våre leverandører, samarbeidspartnere eller andre tredjeparter
De personer vi behandler personopplysninger om er å anse som registrerte etter GDPR. Hvis du er å anse som en registrert, har du som utgangspunkt, med enkelte forbehold, følgende rettigheter:
- Innsynsrett
- Du har rett til å se hvilke opplysninger vi behandler om deg, med mindre det ikke er dekket av et av unntakene, slik som lovfestet taushetsplikt eller når det vil krenke rettighetene og frihetene til andre.
- Rett til sletting
- Du har rett til å kreve at personopplysninger om deg slettes hvis det eksempelvis ikke lenger finnes et grunnlag for behandling, men med unntak slik som for å forsvare et rettskrav eller det behandles for å oppfylle en rettslig forpliktelse.
- Retteplikt
- Du har rett til å få uriktige opplysninger om deg selv rettet.
- Begrensningsrett
- Du kan be om at vi begrenser behandlingen av dine personopplysninger (se begrensninger som nevnt over).
- Protest
- Du kan protestere mot behandlingen av dine personopplysninger.
- Dataportabilitet
- Personopplysninger vi måtte ha om deg kan du be om å få utlevert i et strukturert, alminnelig anvendt og maskinlesbart format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig.
- Trekke tilbake samtykke
- Der vår behandling er basert på samtykke fra deg, så har du rett til å trekke samtykket tilbake.
I MOMEK gjøres ingen automatiserte individuelle avgjørelser, som for eksempel automatiserte rangeringer av jobbsøknader, automatisert markedsføring basert på algoritmer, geolokasjon og kredittvurderinger.
- Begrensning i de registrertes rettigheter for MOMEKs virksomhet
Utgangspunktet for de registrertes rettigheter følger av punkt 2. Eventuelle begrensninger i de registrertes rettigheter i virksomheten må kunne relateres til virksomhetens plikt til å oppfylle en avtale, eller at det finnes lovlig hjemmel for begrensningen i den registrertes rettighet. - Hvem kan du kontakte?
Har du spørsmål om hvordan vi behandler personopplysninger, ønsker å klage eller utøve dine rettigheter etter GDPR, så kan du sende en e-post til on.kemom@tsop.
Du kan også finne ut mer om dine rettigheter etter GDPR eller klage til Datatilsynet på www.datatilsynet.no. - Oversikt over behandlinger
De behandlinger som er nevnt nedenfor har som formål å utføre produksjons- og vedlikeholdsarbeid for våre kunder, samt markedsføre våre tjenester og oppfylle våre rettslige forpliktelser.- Kundekontakt, kundeadministrasjon og sakshåndtering
For å kunne levere våre tjenester i henhold til avtalt oppdrag er vi avhengig av å kunne samhandle med kunder og innhente opplysninger til å yte produksjons-, vedlikeholdsarbeid, eller annet relevant arbeide.
Behandlingsgrunnlag er avtalen (GDPR art. 6 b) knyttet til eventuelle privatpersoner, og berettiget interesse (GDPR art. 6 f) for vår dialog med virksomhetsklienter.
Hvilke personopplysninger behandles: Vi registrerer vanligvis kontaktperson/navn, stilling, e-postadresse, telefonnummer og adresse for å kunne kommunisere med kunde (basert på oppdragsavtale). - Fakturering
For å kunne fakturere våre leveranser, så behandler / registrerer vi informasjon for å kunne utstede faktura gjennom vårt regnskapssystem.
Behandlingsgrunnlaget ovenfor virksomhetens kunder er grunnlag for å oppfylle avtale (GDPR art. 6 b), i tillegg til lagring og regnskapsføring som er hjemlet for å oppfylle rettslige forpliktelse (GDPR art. 6 c).
Hvilke personopplysninger behandles: tidsbruk per medarbeider på oppdraget, kostnader, beskrivelse av jobben og kontaktopplysninger som vi har mottatt fra kunden. - Erfaring- og kunnskapsforvaltning
Som kompetansebedrift vil vi se hen til tidligere utførte oppdrag/ prosesser i opplærings- og forbedringsarbeidet. Vi lærer av våre erfaringer, og vil i den forbindelse benytte våre erfaringer fra tidligere oppdrag til å lære opp våre medarbeidere, samt forbedre og videreutvikle vår videreformidling gjennom et erfaringsarkiv. Ved utarbeidelse av standardrapporter, maler eller annen erfaringsdokumentasjon vil vi, så langt det er mulig, anonymisere personopplysningene.
Behandlingsgrunnlaget for slik behandling av personopplysninger er berettiget interesse (GDPR art. 6 f) knyttet til vår egen interesse for å forvalte kunnskap og forbedre oss og omgivelsene våre.
Hvilke personopplysninger behandles: Personopplysninger vil i liten grad være en del av kunnskapsforvaltning, men vil kunne forekomme sporadisk i form av kontaktopplysninger eller henvisning til personer i saksdokumenter. - Lagring/arkivering
Ved siden av vårt erfaringsarkiv, oppbevarer vi saksdokumenter, herunder også korrespondanse med kunder og motparter etter at oppdraget er avsluttet. Lagring av saksdokumenter finner sted av hensyn til vår sikkerhet for etterfølgende dokumentasjon av et kundeforhold, slik som etterfølgende rettssaker eller prosesser hvor behov for dokumentasjon foreligger.
Behandlingsgrunnlaget for lagring/arkivering skjer på bakgrunn av berettiget interesse (GDPR art. 6 f) for å oppfylle vår egeninteresse om å ha tilgang til dokumentasjon. Det kan også i enkelte tilfeller være hjemlet i lovkrav (GDPR art. 6 c) knyttet til krav om dokumentasjon etter hvitvaskingsloven § 4. Det kan også i enkelte tilfeller for særskilte kategorier personopplysninger være hjemlet for å forsvare et rettskrav (GDPR art. 9 f) jf. personopplysningsloven § 11.
Hvilke personopplysninger behandles: oppdrags- og prosjektdokumentasjon der personopplysninger som navn og kontaktinformasjon kan fremkomme. - Markedsføring
I hovedsak bruker vi hjemmesiden vår, og sosiale medier for markedsføring av virksomheten, der vi når ut til følgere og interesserte på blant annet Facebook, LinkedIn og Youtube.
Behandlingsgrunnlaget for markedsføring hos eksisterende kunder og i sosiale medier er berettiget interesse (GDPR art. 6 f) for å holde kunder og andre interesserte oppdatert om våre tjenester, samt videre jf. markedsføringsloven § 15 (3). Alle mottakere av våre utsendelser kan enkelt melde seg av ved å benytte lenken som er inkludert i hver e-post. - Sikkerhet
Vi logger aktiviteter på våre servere, avdekker, oppklarer og følger opp sikkerhetshendelser med mål om å ha tilfredsstillende informasjonssikkerhet og fysisk sikkerhet rundt våre digitale løsninger og adgangskontroll til våre lokaler.
Behandlingsgrunnlaget av personopplysninger for sikkerhetsformål, er hjemlet i en berettiget interesse (GDPR art. 6 f) for å sikre dine personopplysninger fra å komme på avveie. - Samhandling med leverandører, samarbeidspartnere og andre tredjeparter
For å yte våre tjenester benytter vi leverandører/underleverandører og samarbeidspartnere og benytter kontaktinformasjon mot disse.
Behandlingsgrunnlaget er hjemlet i avtale med de nevnte (GDPR art. 6 b) eller berettiget interesse (GDPR art. 6 f) for å håndtere kommunikasjon og andre forhold som ikke er hjemlet i avtale. - Søknader og jobbsøkere
For å kunne ansette de riktige personene gjennomfører vi jevnlig ansettelsesprosesser hvor arbeidssøkere sender oss sine jobbsøknader.
Behandlingsgrunnlaget er berettiget interesse (GDPR art. 6 f) for å innhente relevant informasjon om arbeidssøkeren, samt beholde slik informasjon i en begrenset periode i etterkant i de tilfeller søknaden og dennes materiale kan benyttes til nye behov som dukker opp.
Personopplysninger som benyttes: navn, adresse, CV, sivilstand og andre personopplysninger om vedkommende, med referanse til tidligere arbeidsgivere og kontaktpersoner. Se punkt 8 for informasjon om lagringstid.
- Kundekontakt, kundeadministrasjon og sakshåndtering
- Vi gir ikke personopplysninger videre til andre med mindre det foreligger et lovlig grunnlag for slik utlevering. Eksempler på slikt grunnlag vil typisk være fordi medarbeider har samtykket til det, fordi utleveringen er nødvendig for å oppfylle en avtale med deg, fordi det foreligger en berettiget/nødvendig interesse eller det foreligger lovgrunnlag som pålegger oss å gi ut informasjonen.Vi deler ansattes personopplysninger, kompetanseopplysninger og lokasjonsopplysninger til kunder, potensielle kunder, ved anbud, til samarbeidspartnere, til kolleger og til andre, der hvor det anses som nødvendig for å sikre oppdrag, nye oppdrag og arbeidsflyt.Behandlingen er vurdert som nødvendig for å ivareta bedriftens behov for å sikre nåværende og nye oppdrag, samt for en effektiv gjennomføring av oppdrag sammen med kolleger og øvrige aktører på byggeplass, verksted og lignende. Ved behov innhenter vi samtykke til denne delingen, da det periodevis kan være hensiktsmessig å dele kompetanseopplysninger i større utstrekning enn hva som er strengt nødvendig, blant annet av markedsføringshensyn og fordi begrensning av utsendelsen i store oppdrag kan være svært kostnadskrevende.Virksomheten bruker databehandlere til å samle inn, lagre eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller har vi inngått avtaler for å ivareta informasjonssikkerheten i alle ledd av behandlingen. Relevante databehandlere er oppført i virksomhetens protokoll for behandlingsaktiviteter.
- Behandling av personopplysninger innenfor EU/EØS
Personopplysninger som nevnt i denne erklæringen behandles utelukkende innenfor EU/EØS. Det overføres ingen personopplysninger utenfor EU/EØS. Skulle det bli aktuelt med overføring utenfor EU/EØS vil det skje etter GDPR og med tilhørende behandlingsgrunnlag. - Personopplysninger som nevnt i denne erklæringen behandles kun så lenge vi trenger de for å oppfylle formålene som er beskrevet. For enkelte kategorier:
- Kontaktinformasjon: slettes 5 år etter opphør av kundeforhold eller leverandørforhold
- Kundekontroll etter hvitvaskingsloven: slettes etter 5 år etter opphør av kundeforhold.
- Saksdokumenter for lagring og arkivering, samt erfaringsarkiv: 20 år for dokumenter som vi har tilgang til selv og er ansvarlig for.
- Fakturering: 5 år for alminnelige fakturaopplysninger i henhold til bokføringsloven, og 3.5 år for sekundærinformasjon.
- Markedsføring: Slettes etter 2 år etter opphør av kundeforhold, med mindre samtykke til utsendelse trekkes tilbake.
- Søknadsprosesser: Med mindre søkere som ikke har fått tilbud om arbeidsforhold eksplisitt ber om sletting av søknad, slettes søknad med vedlegg 12 måneder etter at en søker har fått tilbud om stillingen.
- Informasjonskapsler (cookies)
Websidene som er tilgjengelig gjennom www.momek.no benytter ingen informasjonskapsler som behandler personopplysninger. Websidene benytter kun nødvendige tekniske informasjonskapsler for å få nettsidene til å fungere.
MOMEK benytter tredjepartstjenester og kommunikasjonsplattformer, slik som LinkedIn og Facebook, som kan benytte informasjonskapsler og som er regulert av tjenestevilkårene til disse tjenestene og plattformene. - Etter GDPR behandler vi personopplysninger på en tilfredsstillende sikker måte og med fokus på informasjonssikkerhet. Vi har implementert tekniske og organisatoriske tiltak og tilhørende rutiner. Vi reviderer også jevnlig vår informasjonssikkerhet.
Vår digitale infrastruktur leveres av en IT-partner som er sertifisert etter ISO27001 og har iverksatt nødvendige og proaktive tiltak for å beskytte sensitiv informasjon mot uautorisert adgang og endringer. - Denne personvernerklæringen vil være gjenstand for jevnlig evaluering og oppdatering basert på faktiske endringer i vår behandling av personopplysninger. Siste tilgjengelige versjon vil du alltid finne på www.momek.no.
Eksisterende versjon: 1.0 (dato: 01-02-2024)
Privacy Policy Statement
MOMEK Group AS (MOMEK) provides fabrication, maintenance, modification, construction, and engineering services to our clients. In this context, we process personal data where necessary to deliver our services.
This privacy policy statement outlines how we process personal data and the rights individuals have under the Personal Data Act and the General Data Protection Regulation (GDPR) in such processing.
In the execution of our services, MOMEK is the data controller under GDPR for the processing of personal data. We process personal data in accordance with the regulations and with a focus on security. Our address is:
Visit address: Mo Industrial Park, 8626 Mo i Rana
Postal address: P.O. Box 523, 8601 Mo i Rana
Email: on.kemom@tsop
Phone: +47 400 37 950
Organization number: NO 998 515 920 VAT
- When do we process personal data as a data controller?
MOMEK processes personal data when:- We provide services to our clients, including customer management, production, and knowledge management
- We engage in marketing, sending newsletters, emails, and other course or marketing activities
- We manage employees, including hiring and application processes
- We use communication platforms and websites, or otherwise have a presence on platforms like www.momek.no, Facebook, LinkedIn, and YouTube.
- We utilize security solutions to detect, prevent, or log security incidents.
Processing of personal data related to employees follows our internal privacy procedures.
- The data subjects we process personal data about and their rights
MOMEK is a service company primarily for the industry, mainly providing production and maintenance services to our clients, and therefore primarily processes business-related information that is not personal data. However, in some cases, we do process personal data, such as:- Contact persons at our clients and counterparts
- Contact persons at our suppliers, partners, or other third parties
The individuals whose personal data we process are considered data subjects under GDPR. If you are considered a data subject, you have, with certain exceptions, the following rights:
- Right of access
- You have the right to see which information we process about you, unless covered by an exception, such as statutory confidentiality or when it would violate the rights and freedoms of others.
- Right to erasure
- You have the right to request that personal data about you be erased if, for example, there is no longer a basis for processing, except as necessary to defend a legal claim or it is processed to fulfill a legal obligation.
- Right to rectification
- You have the right to have inaccurate information about yourself corrected.
- Right to restriction of processing
- You may request that we restrict the processing of your personal data (see restrictions mentioned above).
- Right to object
- You can object to the processing of your personal data.
- Data portability
- You can request to receive the personal data we have about you in a structured, commonly used, and machine-readable format and have the right to transmit those data to another controller.
- Right to withdraw consent
- Where our processing is based on your consent, you have the right to withdraw that consent.
At MOMEK, no automated individual decision-making processes are used, such as automated ranking of job applications, automated marketing based on algorithms, geolocation, and credit assessments.
- Limitations on data subjects’ rights for MOMEK’s business
The basis for data subjects’ rights is as stated in point 2. Any limitations on data subjects’ rights in the business must be related to the business’s duty to fulfill a contract or there is a legal basis for limiting the data subject’s right. - Who can you contact?
If you have questions about how we process personal data, wish to complain or exercise your rights under GDPR, you can send an email to on.kemom@tsop.
You can also find out more about your rights under GDPR or complain to the Data Protection Authority at www.datatilsynet.no. - Overview of processing activities
The processing activities mentioned below aim to perform production and maintenance work for our clients, market our services, and fulfill our legal obligations.- Customer contact, customer management, and case handling
To deliver our services according to the agreed assignment, we depend on interacting with clients and gathering information to perform production, maintenance work, or other relevant work.
The basis for processing is the contract (GDPR Art. 6 b) related to any individuals, and legitimate interest (GDPR Art. 6 f) for our dialogue with business clients.
Processed personal data: We typically register contact person/name, position, email address, phone number, and address to communicate with the client (based on contract). - Billing
To invoice our deliveries, we process/register information to issue an invoice through our accounting system.
The basis for processing above business clients is to fulfill a contract (GDPR Art. 6 b), in addition to storage and accounting which is required to fulfill a legal obligation (GDPR Art. 6 c).
Processed personal data: time spent per employee on the assignment, costs, job description, and contact information received from the client. - Experience and knowledge management
As a competence company, we look to previous assignments/processes in training and improvement work. We learn from our experiences and will use our experiences from past assignments to train our employees, as well as to improve and further develop our dissemination through an experience archive. When preparing standard reports, templates, or other experience documentation, we will, as far as possible, anonymize the personal data.
The basis for such processing of personal data is legitimate interest (GDPR Art. 6 f) related to our own interest in managing knowledge and improving ourselves and our surroundings.
Processed personal data: Personal data will rarely be part of knowledge management but may occur sporadically in the form of contact information or references to individuals in case documents. - Storage/archiving
In addition to our experience archive, we store case documents, including correspondence with clients and counterparts after the assignment is completed. Storage of case documents is done for our security for subsequent documentation of a client relationship, such as subsequent lawsuits or processes where documentation is needed.
The basis for storage/archiving is legitimate interest (GDPR Art. 6 f) to fulfill our own interest in having access to documentation. In some cases, it may also be required by law (GDPR Art. 6 c) related to documentation requirements under the Anti-Money Laundering Act § 4. In some cases for special categories of personal data, it may be necessary to defend a legal claim (GDPR Art. 9 f) cf. the Personal Data Act § 11.
Processed personal data: assignment and project documentation where personal data such as name and contact information may appear. - Marketing
Primarily, we use our website and social media to market our business, reaching followers and interested parties on Facebook, LinkedIn, and YouTube.
The basis for marketing to existing clients and on social media is legitimate interest (GDPR Art. 6 f) to keep clients and other interested parties updated about our services, and further cf. the Marketing Act § 15 (3). All recipients of our mailings can easily unsubscribe by using the link included in each email. - Security
We log activities on our servers, detect, clarify, and follow up on security incidents with the goal of having satisfactory information security and physical security around our digital solutions and access control to our premises.
The basis for processing personal data for security purposes is legitimate interest (GDPR Art. 6 f) to secure your personal data from being compromised. - Interaction with suppliers, partners, and other third parties
To provide our services, we use suppliers/subcontractors and partners and use contact information towards these.
The basis for processing is established in the contract with the mentioned (GDPR Art. 6 b) or legitimate interest (GDPR Art. 6 f) to handle communication and other matters not established in the contract. - Applications and job applicants
To hire the right people, we regularly conduct recruitment processes where job applicants send us their job applications.
The basis for processing is legitimate interest (GDPR Art. 6 f) to obtain relevant information about the job seeker and retain such information for a limited period afterward in cases where the application and its materials can be used for new needs that arise.
Processed personal data: name, address, CV, marital status, and other personal information about the individual, with reference to previous employers and contacts. See point 8 for information on retention time.
- Customer contact, customer management, and case handling
- We do not share personal data with others unless there is a legal basis for such disclosure. Examples of such a basis would typically be because the employee has consented to it, because the disclosure is necessary to fulfill a contract with you, because there is a legitimate/necessary interest, or there is a legal basis that requires us to release the information.We share employees’ personal data, competence data, and location data with clients, potential clients, during bids, with partners, colleagues, and others, where it is deemed necessary to secure assignments, new assignments, and workflow.The processing is considered necessary to meet the company’s needs to secure current and new assignments, as well as for an efficient execution of assignments together with colleagues and other actors on construction sites, workshops, and similar. When necessary, we obtain consent for this sharing, as it may occasionally be appropriate to share competence information more broadly than strictly necessary, including for marketing purposes and because limiting the dissemination in large assignments can be very cost-intensive.The company uses data processors to collect, store, or otherwise process personal data on our behalf. In such cases, we have entered into agreements to ensure information security at all stages of processing. Relevant data processors are listed in the company’s protocol for processing activities.
- Processing of personal data within the EU/EEA
Personal data mentioned in this statement are processed exclusively within the EU/EEA. No personal data are transferred outside the EU/EEA. Should it become relevant to transfer outside the EU/EEA, it will be done according to GDPR and with the corresponding basis for processing. - Personal data mentioned in this statement are processed only as long as we need them to fulfill the purposes described. For certain categories:
- Contact information: deleted 5 years after the end of the customer or supplier relationship
- Customer due diligence under the Anti-Money Laundering Act: deleted 5 years after the end of the customer relationship.
- Case documents for storage and archiving, and experience archive: 20 years for documents that we have access to ourselves and are responsible for.
- Billing: 5 years for general invoice information according to the Accounting Act, and 3.5 years for secondary information.
- Marketing: Deleted 2 years after the end of the customer relationship, unless consent to mailing is withdrawn.
- Application processes: Unless applicants who have not been offered employment explicitly request deletion of their application, the application with attachments is deleted 12 months after an applicant has been offered the position.
- Cookies (cookies)
The websites accessible through www.momek.no do not use cookies that process personal data. The websites only use necessary technical cookies to function.
MOMEK uses third-party services and communication platforms, such as LinkedIn and Facebook, which may use cookies and are governed by the terms of service of these services and platforms. - Under GDPR, we process personal data in a satisfactory secure manner and with a focus on information security. We have implemented technical and organizational measures and corresponding procedures. We also regularly review our information security.
Our digital infrastructure is provided by an IT partner certified according to ISO27001 and has implemented necessary and proactive measures to protect sensitive information against unauthorized access and changes. - This privacy policy statement is subject to regular evaluation and updating based on actual changes in our processing of personal data. The latest available version can always be found on www.momek.no.
Current version: 1.0 (date: 01-02-2024)