Personvernerklæring

Stiftelsen Miljøfyrtårn har plikt til å behandle personopplysninger på en åpen måte (jf. personvernforordningen artikkel 12 og 13). Denne personvernerklæringen inneholder informasjon om dine rettigheter ved lagring av personopplysninger gjennom et kundeforhold og generell informasjon om hvordan vi behandler personopplysninger i henhold til gjeldende personvernlovgivning. 

Vi forbeholder oss retten til å endre eller oppdatere vår erklæring. Alle endringer er gjeldene fra de legges ut, og vil omfatte informasjon samlet inn fra den datoen så vel som eksisterende informasjon oppbevart. Vi oppfordrer deg til å se igjennom erklæringen regelmessig. Dersom det blir utført større endringer som vesentlig endrer vår personvernpraksis kan vi også varsle deg på andre måter som f.eks. via e-post, eller på selskapets nettside eller sosiale medier. Vi tilgjengeliggjør ikke tidligere versjoner av våre erklæringer. 

Denne erklæringen ble sist oppdatert 27. juni 2023.

Vi er behandlingsansvarlig for vår behandling av personopplysninger og har det øverste ansvaret for å sikre at all behandling og håndtering av personopplysninger skjer i samsvar med gjeldene lovgivning. Vi deler ikke personopplysninger med andre, eller bruker opplysningene til annet formål enn det som er angitt.

Denne Personvernerklæringen gjelder for alle brukere av våre nettsider og tjenester. Vi krever at brukere aksepterer å overholde erklæringen som en del av vår relasjon. Ved å bruke våre nettsider og tjenester, aksepterer du at dine personopplysninger kan behandles i samsvar med denne Personvernerklæringen, herunder overføres til databehandlere og tredjeparter som beskrevet her. 

Vi er underlagt norsk lov. Du samtykker i at eventuelle tvister skal behandles av domstol i samsvar med lovene i Norge, med mindre annet følger av preseptoriskℹ️ «Preseptorisk» er et juridisk begrep som refererer til lover og regler som ikke kan fravikes gjennom en avtale mellom parter. Dersom det er en uenighet, skal den avgjøres i retten etter norsk lov, med mindre lokale lover sier noe annet. lokal rett.

Vi lenker til nettsider som er eid og driftet av andre virksomheter. Vi har ikke innsyn i og behandler ikke personopplysninger som legges inn på disse nettstedene, med mindre annet er spesifisert i denne erklæringen. Vi har heller ikke ansvar for verken innhold eller behandling av personopplysninger på andre nettsider. 

Vi har alle immaterielle rettigheter til innhold på våre nettsteder, og gjengivelse av innholdet på disse er kun tillatt med skriftlig samtykke fra oss.

Hvem er vi?

Hvem er vi?

Miljøfyrtårn er en sertifiseringsordning for virksomheter som vil dokumentere sin miljøinnsats og vise samfunnsansvar. Stiftelsen Miljøfyrtårn er en nasjonal stiftelse med hovedkontor i Kristiansand og regionskontor i Oslo. Hovedkontorets kontoradresse er Vestre Strandgate 12, 4610 Kristiansand.  

Stiftelsen Miljøfyrtårn er behandlingsansvarlig for persondataene som vi samler inn og lagrer i forbindelse med at virksomheter sertifiserer seg.   

Miljøfyrtårnportalen – kundens digitale verktøy  

Stiftelsen Miljøfyrtårn har sammen med sine samarbeidspartnere utviklet Miljøfyrtårnportalen med tilhørende digitale verktøy, for å hjelpe kunden med å dokumentere oppfyllelse av kriteriene og arbeidet med miljøledelse for å oppnå et Miljøfyrtårn-sertifikat.  

Tjenesten vår krever at en ansvarlig kontaktperson må registrere personopplysninger som navn, e-postadresse og telefonnummer for å få tildelt nødvendige brukerrettigheter på vegne av virksomheten. Stiftelsen Miljøfyrtårn har administratortilgang knyttet til rådgiving og teknisk støtte/support. Dette er nødvendig for å kunne følge opp vår avtale med virksomhetene og å kunne yte god rådgivning. Kontaktinfo lagres så lenge det eksisterer et aktivt kundeforhold. Kunden legger selv til nye kontaktpersoner og gir tilganger i det videre arbeidet i Miljøfyrtårnportalen. Disse personopplysningene knyttet til kontaktpersonene overføres vårt CRM-system.  

Om våre behandlingsformål  

Stiftelsen Miljøfyrtårn benytter personopplysninger som er nødvendige i forbindelse med vår virksomhet som sertifiseringsordning. Formålet med behandlingen er å administrere kundeforhold, sertifisering og stiftelsens relasjon til Miljøfyrtårn-konsulenter og Miljøfyrtårn-sertifisører  Personopplysninger behandles også for rekrutteringsformål.  

Vi behandler ikke dine personopplysninger for sekundære formål som er uforenlig med det opprinnelige formålet som lå til grunn for at dine personopplysninger ble innhentet. Personopplysningene slettes når de ikke lenger er nødvendige for formålet som de ble samlet inn eller behandlet for.  


Når samler vi inn personopplysninger?

Når samler vi inn personopplysninger?

  • Du har søkt jobb hos oss
  • Du har kjøpt en vare/tjeneste
  • Du har registrer deg som bruker
  • Du har meldt deg på nyhetsbrev
  • Du har sendt inn kontaktskjema på nettsidene våre
  • Du har bedt om innsyn eller sletting
  • Du har bedt om tilbud, veiledning eller sendt en klage
  • Arbeidsgiver/virksomhet har registrert deg som bruker med ditt samtykke
  • Du har meldt deg på et arrangement, kurs, eller webinar
  • Vi får også opplysninger indirekte av følgende årsaker:
    • En klage inneholder opplysninger om deg
    • En jobbsøker har oppgitt deg som referanse
    • En avviksmelding inneholder opplysninger om deg
    • En ansatt har oppgitt deg som nærmeste pårørende

Dine rettigheter

Dine rettigheter

Du kan utøve dine rettigheter ved å sende en e-post til personvern@miljofyrtarn.no   

Du har krav på svar uten ugrunnet opphold, og senest innen 30 dager.

Innsyn i egne opplysninger

Du kan be om en kopi av alle opplysninger vi behandler om deg. Opplysningene utleveres/overføres på en sikker måte. Med mindre du anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form og sendes kryptert.

Les mer om retten til innsyn

Korrigering av personopplysninger

Du kan be oss rette eller supplere opplysninger som er feilaktige eller misvisende.

Les mer om retten til å rette eller supplere opplysninger

Sletting av personopplysninger

I gitte situasjoner kan du be oss slette opplysninger om deg selv. I noen tilfeller er vi forpliktet til å oppbevare opplysningene i henhold til gjeldende lovgivning eller andre forpliktelser.

Regnskapsloven pålegger oss å lagre transaksjonsdata i 5 år. For å kunne ivareta kunders rettigheter i forbindelse med garanti og reklamasjon i henhold til forbrukerkjøpsloven, kjøpsloven og våre salgsbetingelser, lagrer vi kjøpshistorikk i 5 år.

Les mer om retten til sletting

Begrensning av behandling av personopplysninger

I noen situasjoner kan du også be oss begrense behandlingen av opplysninger om deg.

Les mer om retten til begrensning

Protestere mot behandling av personopplysninger

Dersom vi behandler opplysninger om deg med grunnlag i våre oppgaver eller på bakgrunn av en interesseavveining, har du rett til å protestere på vår behandling av opplysninger om deg.

Les mer om retten til å protestere

Dataportabilitet

Dersom vi behandler opplysninger om deg med grunnlag i samtykke eller en kontrakt, kan du be oss om å overføre opplysninger om deg til deg eller til annen behandlingsansvarlig. Dersom det er teknisk mulig, kan vi sende disse opplysningene direkte til ny virksomhet. Hvis ikke vil vi sende opplysningene til deg via e-post. Informasjonen gis i en vanlig elektronisk form og sendes kryptert.

Les mer om retten til dataportabilitet

Du kan klage på vår behandling av personopplysninger

Dersom du mener at vi ikke har overholdt dine rettigheter i henhold til personopplysningsloven, ta gjerne kontakt med oss her:

Du har også rett til å klage til tilsynsmyndigheten. Dette gjøres ved å sende klage til Datatilsynet:


Hva registreres når du bruker nettsiden vår?

Hva registreres når du bruker nettsiden vår?

Påloggingsforsøk

Alle pålogginger i Miljøfyrtårnportalen logges i en egen databasetabell. Hensikten er både å kunne oppdage mislykkede påloggingsforsøk, oppdage og stoppe forsøk på innbrudd og å kunne se når og om en bruker sist logget seg på.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å sikre vår IKT-infrastruktur.

Påloggingstabellen lagrer følgende data:

  • Brukernavn
  • Dato og tidspunkt for pålogging
  • Hvilken url som ble benyttet ved pålogging
  • Brukerens IP-adresse 

Informasjonskapsler

Vi benytter informasjonskapsler (cookies), dette er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside. Disse brukes vanligvis til å forbedre din brukeropplevelse og huske hvem du er, slik at du forblir innlogget. Om du ønsker å unngå bruk av informasjonskapsler kan du stille inn din nettleser til å ikke akseptere disse. Se nettleserens hjelpesider for innstillinger. Vær oppmerksom på at dersom du velger å utelukke informasjonskapsler, kan funksjoner på nettsiden slutte å fungere.

Les mer om hvordan du administrerer informasjonskapsler (nettvett.no)

Webanalyse

Når du besøker nettsiden vår, bruker vi verktøyet Matomofor å analysere din bruk av nettsiden. Formålet med dette er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle nettsidene. Eksempler på hva statistikken gir svar på er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes.

IP-adresser lagres ikke og det er ikke mulig for oss å knytte besøksstatistikk opp mot den enkelte besøkende. Besøksstatistikken er kun tilgjengelig for web-redaksjonen.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 a), hvor du samtykker til vår bruk av Matomo ved besøk på vår nettside.

Telefon

Når du ringer oss, vil ditt telefonnummer bli lagret sammen med opplysninger om når du ringte. Dersom en telefonsamtale er knyttet til en enkeltsak, vil det kunne bli skrevet et notat som journalføres etter samtalen. Det gjøres ingen øvrig systematisk registrering av telefonsamtaler hvor innringer kan identifiseres.

E-post

Vi bruker TLS-kryptering for å sikre vår e-postkommunikasjon. De fleste epost tjenester støtter dette, og din e-postkommunikasjon med oss vil da være sikret. Vi ber likevel om at du ikke sender sensitive personopplysninger eller beskyttelsesverdig informasjon per e-post, da vi ikke kan garantere at din e-postleverandør støtter TLS.

Vi skanner all inn og utgående e-post for virus og skadevare.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å sikre vår IKT-infrastruktur.


Behandling av opplysninger når du er i kontakt med oss

Behandling av opplysninger når du er i kontakt med oss

Abonnere på nyhetsbrev

Vi sender ut nyhetsbrev på e-post til de som ønsker. Nyhetsbrevet inneholder informasjon om:

  • Nyheter
  • Undersøkelser
  • Tilbud og kampanjer
  • Endringer i programvare
  • Nye funksjoner eller vedlikehold
  • Aggregerte resultater fra kundeundersøkelsene
  • Informasjon om tema tilknyttet sertifiseringen, tilbud om kurs og seminarer

For at vi skal kunne sende deg nyhetsbrev, må du registrere en e-postadresse. 

Informasjonen lagres i en egen database, deles ikke med andre og slettes når du melder deg av nyhetsbrevet. Du kan enkelt melde deg av ved å trykke på lenken for dette nederst i nyhetsbrevet, eller ved å kontakte oss.

Behandlingsgrunnlaget for behandling av e-postadressen din i tilknytning til nyhetsbrevet vårt, er personvernforordningen artikkel 6 nr. 1 a), altså samtykke.

Utfylling av kontaktskjema på Miljøfyrtårn sine nettsider

Ved innsending av kontaktskjema på våre nettsider vil dine personopplysninger, og informasjon du oppgir om din virksomhet, lagres i vårt kommunikasjonsverktøy og CRM-system. Her ber vi om navn, e-postadresse og telefonnummer for å kunne følge opp din henvendelse i henhold til oppgitte preferanser i skjemaet.

Påmelding til arrangement, kurs og webinar

Ved påmelding til arrangementer, kurs, webinar ber vi deg om å oppgi navn, e-post, adresse, telefonnummer, kontaktinformasjon til arbeidsgiver og fakturainformasjon. Disse opplysningene brukes til å behandle bestillingen din, deriblant fakturering, utsendelse av kurspåminnelse og kursmateriell og ved behov for tilretteleggelse ved spesielle behov, som f. eks. matallergier. Opplysninger knyttet til spesielle behov slettes umiddelbart etter at kurset er avholdt.

Personopplysningene blir overført til vårt CRM-system og blir brukt til utsendelse av nyhetsbrev avhengig av de samtykker du har gitt. Opplysningene registreres via verktøy for kundeundersøkelser og overføres til vårt CRM-system. Der behandlingsformålet krever det overføres personopplysningene til ekstern kurs/konferanse -arrangør.

Kursevalueringer sendes ut via IT-verktøy for spørreundersøkelser og vil i enkelte tilfeller gjennomgås med ekstern kursholder. Evalueringene er da anonymisert.

Konsulenter og sertifisører som melder seg på kurs for å kvalifisere seg til miljøfyrtårnkonsulent/miljøfyrtårnsertifisør, blir i tillegg til personopplysninger som over, bedt om dokumentasjon på kvalifikasjoner. Vi lagrer disse personopplysningene så lenge konsulenten/sertifisøren er i en aktiv avtale med Stiftelsen Miljøfyrtårn, og så lenge de er en del av en sertifiseringsprosess hos kunden. Dette fordi Stiftelsen Miljøfyrtårn er ansvarlig for å kvalitetssikre og dokumentere et sertifikat som Miljøfyrtårn-virksomhet.

Spørreundersøkelser

Når vi gjennomfører spørreundersøkelser, informerer vi om formålet med den, og hvorvidt den er anonym eller ikke. Vi deler ikke kontaktopplysningene med andre eller bruke opplysningene til andre formål enn det som er angitt.

Anonyme undersøkelser

Dersom undersøkelsen er anonym, vil besvarelsen ikke kunne spores tilbake til respondenten.

Identifiserbare undersøkelser

Dersom undersøkelsen ikke er anonym, kan vi identifisere de som har besvart undersøkelsen. Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 a), hvor du samtykker til vår behandling av opplysninger om deg.


Opplysninger om ansatte og jobbsøkere

Opplysninger om ansatte og jobbsøkere

Ansatte

Vi behandler opplysninger om ansatte for å administrere lønn og arbeidsforhold. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 b), behandlingen er nødvendig for å oppfylle en avtale den registrerte er part i.

Dessuten registreres det opplysninger i tilknytning til nøkkeladministrasjon av inn- og utpasseringer, og opplysninger om tilgangsstyring i IT-systemet. Opplysningene hentes fra de ansatte selv. Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområdet regnes å være offentlige opplysninger, og kan publiseres på våre nettsider.

Alle tidligere og nåværende ansatte har en personalmappe i vårt arkivsystem. Tilgangen til personalmappene er begrenset til kun de som har behov for å behandle disse opplysningene.

Her blir blant annet stillingssøknaden arkivert/oppbevart. Personalmapper skal bevares (det vil si at stillingssøknaden ikke blir slettet eller makulert). Personalmapper blir ryddet ved utløp av arbeidsforholdet.

Jobbsøkere

Dersom du søker jobb hos oss, trenger vi å behandle opplysninger om deg for å vurdere din søknad.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 b) – behandlingen er nødvendig for å oppfylle en avtale den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse. Dersom din søknad inneholder særlige kategorier av personopplysninger, er behandlingsgrunnlaget vårt personvernforordningen artikkel 9 nr. 2 b) og h).

Alle stillingssøknader blir journalført. Disse blir lagret i vårt elektroniske arkiv i 6 måneder(hvis ikke annet er avtalt) før de makuleres. Alle andre dokumenter, slik som søkerlister og innstillinger, samt alle stillingssøknader på ledernivå, bevares.


Miljøfyrtårnkonsulenter og miljøfyrtårnsertifisører

Miljøfyrtårnkonsulenter og miljøfyrtårnsertifisører

Godkjente miljøfyrtårnkonsulenter er registrert på søkbare lister i Miljøfyrtårnportalen og på våre nettsider. De er registrert med navn, e-post og telefonnummer slik at det er enkelt for våre kunder å finne godkjente konsulenter. Kontaktinformasjon på søkbare lister i portalen blir fjernet når konsulentene ikke lenger har godkjent lisens fra Stiftelsen Miljøfyrtårn.

Stiftelsen Miljøfyrtårn har egen avtale med konsulentene som sikrer at de opererer i tråd med Stiftelsen Miljøfyrtårn sine retningslinjer.


Informasjonssikkerhet og databehandlere

Informasjonssikkerhet og databehandlere

Vi har gode rutiner og omfattende tiltak for å sikre at uvedkommende ikke får tilgang til dine personopplysninger, og at behandlingen av data skjer i samsvar med kravene i gjeldende lovgivning. Eksempler på slike tiltak er risikovurderinger, implementering av organisatoriske og fysiske tiltak tilpasset dette, tilgangsstyring og arkiveringsrutiner, samt rutiner for håndtering av data og oppfølging av forespørsler vedrørende retten til innsyn, retting og sletting. Det er implementert rutiner for varsling ihht regelverk ved brudd på datasikkerhet eller mistanke om dette. 

Vi kan benytte opplysningene som vi samler om deg når vi har grunn til å tro at det er nødvendig å identifisere, kontakte, eller ta rettslige skritt mot personer eller selskaper som kan skade deg, oss, eller andre. Vi kan også avsløre din informasjon når vi mener loven krever det.

Stiftelsen Miljøfyrtårn er ansvarlig for personopplysninger i egne IT-systemer og har interne rutiner for vedlikehold og sletting av personopplysninger.

Ansatte i Stiftelsen Miljøfyrtårn har taushetsplikt som omfatter alle data relatert til kunden, sertifisører og konsulenter. Vi sikrer dine personopplysninger ved tilgangskontroll knyttet til kundeforholdet.

Stiftelsen Miljøfyrtårn ber aldri om sensitiv persondata i våre systemer. Du som bruker bærer alene ansvar for ikke å legge inn personsensitive data i våre verktøy. Med sensitiv informasjon mener vi opplysninger som kan spores til enkeltmennesker relatert til fagforeningsmedlemskap, helse, etnisitet, seksuelle forhold m.v.


Logging

Logging

Vi har alminnelige sikkerhetslogger i fagsystemene, og sikkerhetsansvarlig har fått delegert ansvaret for dette.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å sikre tilsynets IKT-infrastruktur.


Bruk av databehandlere

Bruk av databehandlere

Stiftelsen Miljøfyrtårn har flere underleverandører som leverer tjenester knyttet til videreutvikling, drift og sikkerhet av våre digitale verktøy. Disse er underlagt strenge regler for datasikkerhet og personvern gjennom databehandleravtaler. 

Stiftelsen Miljøfyrtårn benytter seg av egne underleverandører når det gjelder tjenester knyttet til:

  • Drift, lagring og sikkerhetskopiering av Miljøfyrtårnportalen, filserveren og e-post serveren og Stiftelsen Miljøfyrtårn sine administrative brukertilganger.
  • Utvikling, vedlikehold og testing i Miljøfyrtårnportalen, samt funksjonen for å gi tilganger til eksterne og interne kontakter i Miljøfyrtårnportalen.
  • Vårt CRM- og ERP-system og synkronisering av data fra Miljøfyrtårnportalen til de ulike applikasjonene. Slik overføring av personopplysninger mellom systemer er nødvendig for å kunne tilby tjenester i forhold til våre avtaler med kundene.
  • Drift og videreutvikling av Stiftelsen Miljøfyrtårn sine nettsider, og ansvar for overføring av data mellom Miljøfyrtårnportalen og Stiftelsen Miljøfyrtårn sin nettside.
  • Produksjon og forsendelse av Miljøfyrtårn-diplomene og oppbevaring av pdf-signaturer for forhåndsprint på diplomer.
  • Eget e-postutsendelsesverktøy for utsendelser av markedskampanjer og nyhetsbrev.
  • Eget IT- verktøy som brukes til ulike påmeldinger, kundeundersøkelser og evalueringer.
  • Gjennomføring av kurs for kunder, miljøfyrtårnkoordinatorer, sertifisører, konsulenter og andre relevante tema for Miljøfyrtårnordningen.

Stiftelsen Miljøfyrtårn vil ikke dele, selge, overføre eller på annen måte utlevere personopplysninger til andre ut over det som nevnt over med mindre vi er rettslig forpliktet til det, eller det er innhentet samtykke til det i forkant.

Ønsker du innsyn i våre underdatabehandlere send oss en henvendelse personvern@miljofyrtarn.no   


Overføringer av personopplysninger utenfor EU/EØS

Overføringer av personopplysninger utenfor EU/EØS

For kursdeltagere benytter vi tjeneste fra applikasjon tilhørende USA, i denne sammenheng vil vi overføre følgende opplysninger: navn, e-postadresse og telefonnummer, samt deltakelse på kurs og resultater fra gjennomførte tester. Denne informasjonen blir behandlet i California, USA. Vi har en databehandleravtale samt det er etablert tekniske og organisatoriske tiltak som kreves for databeskyttelse. Det benyttes også EUs standard kontraktsbestemmelser som oppfyller de relevante kravene i europeisk lov. Leverandøren har ikke tillatelse til å bruke personopplysningene for egne eller tredjeparts behandlingsformål.


Privace policy

The Eco-Lighthouse Foundation is obliged to process personal data in a transparent manner (cf. Articles 12 and 13 of the General Data Protection Regulation). This privacy policy contains information about your rights when storing personal data through a customer relationship and general information about how we process personal data in accordance with applicable data protection legislation.

We reserve the right to change or update our statement. All changes are effective from the date of posting and will include information collected from that date as well as existing information held. We encourage you to review the policy regularly. If major changes are made that materially change our privacy practices, we may also notify you in other ways such as by email, or on the company’s website or social media. We do not make previous versions of our statements available.

This statement was last updated on 27 June 2023.

We are the data controller for our processing of personal data and have the ultimate responsibility for ensuring that all processing and handling of personal data takes place in accordance with applicable legislation. We do not share personal data with others or use the data for other purposes than those stated.

This Privacy Policy applies to all users of our websites and services. We require users to agree to comply with the policy as part of our relationship. By using our websites and services, you accept that your personal data may be processed in accordance with this Privacy Policy, including being transferred to data processors and third parties as described here.

We are subject to Norwegian law. You agree that any disputes shall be resolved by a court of law in accordance with the laws of Norway, unless otherwise provided for by local prescriptive law.

We link to websites owned and operated by other organisations. We do not access or process personal data submitted on these websites, unless otherwise specified in this policy. We are not responsible for the content or processing of personal data on other websites.

We own all intellectual property rights in the content of our websites and reproduction of the content on our websites is only permitted with our written consent.

Who we are?

Who we are?

Eco-Lighthouse is a certification programme for businesses that want to document their environmental efforts and demonstrate social responsibility. The Eco-Lighthouse Foundation is a national organisation with headquarters in Kristiansand and a regional office in Oslo. The address of the head office is Vestre Strandgate 12, 4610 Kristiansand.

The Eco-Lighthouse Foundation is the data controller for the personal data that we collect and store in connection with the certification of organisations.

The Eco-Lighthouse Portal – the customer’s digital tool

Together with its partners, the Eco-Lighthouse Foundation has developed the Eco-Lighthouse Portal with associated digital tools to help customers document fulfilment of the criteria and environmental management work in order to obtain an Eco-Lighthouse certificate.

Our service requires a responsible contact person to register personal data such as name, e-mail address and phone number in order to be granted the necessary user rights on behalf of the organisation. The Eco-Lighthouse Foundation has administrator access related to counselling and technical support/support. This is necessary to be able to follow up on our agreement with the organisations and to be able to provide good advice. Contact information is stored as long as there is an active customer relationship. The customer adds new contact persons and grants access to further work in the Eco-Lighthouse Portal. This personal data relating to the contact persons is transferred to our CRM system.

About our processing purposes

The Eco-Lighthouse Foundation uses personal data that is necessary in connection with our activities as a certification programme. The purpose of the processing is to manage customer relationships, certification and the Foundation’s relationship with Eco-Lighthouse consultants and Eco-Lighthouse certifiers Personal data is also processed for recruitment purposes.

We do not process your personal data for secondary purposes that are incompatible with the original purpose for which your personal data was collected. Personal data is erased when it is no longer necessary for the purpose for which it was collected or processed.


When do we collect personal data?

When do we collect personal data?

  • You have applied for a job with us

  • You have purchased a product/service

  • You have registered as a user

  • You have signed up for our newsletter

  • You have submitted a contact form on our website

  • You have requested access or deletion

  • You have requested a quote, counselling or sent a complaint

  • Your employer/organisation has registered you as a user with your consent

  • You have registered for an event, course or webinar

  • We also receive information indirectly for the following reasons:

    • A complaint contains information about you

    • A job applicant has given you as a reference

    • A discrepancy report contains information about you

    • An employee has named you as their next of kin


Your rights

Your rights

You can exercise your rights by sending an e-mail to personvern@miljofyrtarn.no  

You are entitled to a response without undue delay, and within 30 days at the latest.

Access to your own data

You can request a copy of all data we process about you. The data is disclosed/transferred in a secure manner. Unless you request otherwise, the information shall be provided in a standard electronic form and sent encrypted.

Read more about the right of access

Correction of personal data

You can ask us to correct or supplement information that is incorrect or misleading.

Read more about the right to correct or supplement information

Deletion of personal data

In certain situations, you can ask us to delete information about yourself. In some cases, we are obliged to retain the data in accordance with applicable legislation or other obligations.

The Accounting Act requires us to store transaction data for 5 years. In order to safeguard customers’ rights in connection with warranty and complaints in accordance with the Consumer Purchase Act, the Sale of Goods Act and our terms and conditions of sale, we store purchase history for 5 years.

Read more about the right to deletion

Limitation of processing of personal data

In some situations, you can also ask us to limit the processing of your data.

Read more about the right to limitation

Object to the processing of personal data

If we process data about you on the basis of our duties or on the basis of a balancing of interests, you have the right to object to our processing of your data.

Read more about the right to object

Data portability

If we process your data on the basis of consent or a contract, you can ask us to transfer your data to you or to another data controller. If technically possible, we can send this information directly to the new organisation. If not, we will send the information to you by e-mail. The information is provided in a standard electronic form and is sent encrypted.

Read more about the right to data portability

You can complain about our processing of personal data

If you believe that we have not complied with your rights under the Personal Data Act, feel free to contact us here:

  • E-mail: personvern@miljofyrtarn.no  
  • Telephone: +47 38 00 80 60
  • Postal address: Vestre Strandgate 12, 4610 Kristiansand, Norway

You also have the right to complain to the supervisory authority. This is done by submitting a complaint to the Norwegian Data Protection Agency:


What is registered when you use our website?

What is registered when you use our website?

Login attempts

All logins in the Eco-Lighthouse Portal are logged in a separate database table. The purpose is to be able to detect failed login attempts, detect and stop intrusion attempts and to be able to see when and if a user last logged in.

The legal basis for this processing is Article 6(1)(f) of the General Data Protection Regulation, which allows us to process data that is necessary to safeguard a legitimate interest that outweighs the individual’s right to privacy. The legitimate interest is to secure our ICT infrastructure.

The login table stores the following data:

  • User name
  • Date and time of login
  • Which URL was used when logging in
  • The user’s IP address 

Cookies

We use cookies, which are small text files that are placed on your computer when you download a website. These are typically used to improve your user experience and remember who you are so that you remain logged in. If you wish to avoid the use of cookies, you can set your browser to not accept them. See your browser’s help pages for settings. Please note that if you choose to exclude cookies, functions on the website may stop working.

Read more about how to manage cookies (nettvett.no)

Web analysis

When you visit our website, we use the Matomo tool to analyse your use of the website. The purpose of this is to compile statistics that we use to improve and further develop the website. Examples of what the statistics provide answers to are how many people visit different pages, how long the visit lasts, which websites the users come from and which browsers are used.

IP addresses are not stored and it is not possible for us to link visitor statistics to individual visitors. The visitor statistics are only available to the web editorial team.

The legal basis for this processing is Article 6(1)(a) of the General Data Protection Regulation, where you consent to our use of Matomo when visiting our website.

Telephone

When you call us, your phone number will be stored together with information about when you called. If a telephone call is related to an individual case, a note may be written and logged after the call. There is no other systematic registration of telephone calls where the caller can be identified.

E-mail

We use TLS encryption to secure our e-mail communication. Most e-mail services support this, and your e-mail communication with us will then be secure. However, we ask that you do not send sensitive personal data or sensitive information by e-mail, as we cannot guarantee that your e-mail provider supports TLS.

We scan all incoming and outgoing e-mails for viruses and malware.

The legal basis for this processing is Article 6(1)(f) of the General Data Protection Regulation, which allows us to process data that is necessary to safeguard a legitimate interest that outweighs the individual’s right to privacy. The legitimate interest is to secure our ICT infrastructure.


Processing of data when you are in contact with us

Processing of data when you are in contact with us

Subscribe to our newsletter

We send out newsletters by e-mail to those who wish to receive them. The newsletter contains information about:

  • News
  • Investigations
  • Offers and campaigns
  • Changes in software
  • New features or maintenance
  • Aggregated results from customer surveys
  • Information on topics related to certification, courses and seminars

In order for us to send you newsletters, you need to register an e-mail address. 

The information is stored in a separate database, is not shared with others and is deleted when you unsubscribe from the newsletter. You can easily unsubscribe by clicking the unsubscribe link at the bottom of the newsletter or by contacting us.

The legal basis for processing your e-mail address in connection with our newsletter is Article 6(1)(a) of the General Data Protection Regulation, i.e. consent.

Filling in the contact form on the Eco-Lighthouse’s website 

When submitting a contact form on our website, your personal data and information you provide about your organisation will be stored in our communication tool and CRM system. Here we ask for your name, e-mail address and phone number in order to follow up on your enquiry according to the preferences stated in the form.

Register for events, courses and webinars

When registering for events, courses and webinars, we ask you to provide your name, e-mail address, address, telephone number, employer contact information and invoice information. This information is used to process your order, including invoicing, sending out course reminders and course materials, and in the event of the need for accommodation for special needs, such as food allergies. Information related to special needs is deleted immediately after the course has been held.

The personal data will be transferred to our CRM system and will be used to send out newsletters depending on the consent you have given. The data is registered via customer survey tools and transferred to our CRM system. Where the purpose of processing requires it, the personal data is transferred to an external course/conference organiser.

Course evaluations are sent out via IT tools for surveys and will in some cases be reviewed with an external course organiser. The evaluations are then anonymised.

Consultants and certifiers who sign up for courses to qualify as an Eco-Lighthouse consultant/certifier are asked for documentation of qualifications in addition to personal data as above. We store this personal data as long as the consultant/certifier is in an active agreement with the Eco-Lighthouse Foundation and as long as they are part of a certification process with the customer. This is because the Eco-Lighthouse Foundation is responsible for quality assurance and documentation of a certificate as an Eco-Lighthouse organisation.

Surveys

When we conduct surveys, we inform you about the purpose of the survey and whether it is anonymous or not. We do not share your contact details with others or use the information for other purposes than those stated.

 Anonymous surveys

If the survey is anonymous, the response cannot be traced back to the respondent.

Identifiable surveys

If the survey is not anonymous, we can identify those who have responded to the survey. The legal basis for this processing is Article 6(1)(a) of the General Data Protection Regulation, where you consent to our processing of data about you.


Data about employees and job applicants

Data about employees and job applicants

Employees

We process employee data to administer payroll and employment conditions. The necessary information for payment of salary is registered, such as basic data, salary level, time registration, tax percentage, tax municipality and trade union affiliation. Other information about employees is related to their work instructions and the organisation of their work.

The legal basis for this processing is Article 6(1)(b) of the General Data Protection Regulation, the processing is necessary for the fulfilment of a contract to which the data subject is a party.

In addition, information is registered in connection with key administration of entrances and exits and information about access management in the IT system. The information is collected from the employees themselves. The information is only disclosed in connection with salary payments and other statutory disclosures. Deletion routines for personnel data comply with the Accounting Act and the Archives Act. Information about name, position and area of work is considered public information and may be published on our website.

All former and current employees have a personnel file in our archive system. Access to personnel files is limited to only those who need to process this information.

This is where the job application is archived/stored. Personnel files must be retained (i.e. the job application is not deleted or destroyed). Personnel files are cleared at the end of the employment relationship.

Job applicants

If you apply for a job with us, we need to process data about you in order to assess your application.

The legal basis for this processing is Article 6(1)(b) of the General Data Protection Regulation, The processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract. If your application contains special categories of personal data, our legal basis for processing is Article 9(2)(b) and 9(2)(h) of the General Data Protection Regulation.

All job applications are logged in the journal. These are stored in our electronic archive for 6 months (unless otherwise agreed) before they are destroyed. All other documents, such as applicant lists and nominations, as well as all job applications at managerial level, are retained.


Eco-Lighthouse consultants

Eco-Lighthouse consultants

Approved Eco-Lighthouse consultants are registered on searchable lists in the Eco-Lighthouse Portal and on our website. They are registered with name, e-mail and phone number, making it easy for our customers to find approved consultants. Contact information on searchable lists in the portal is removed when the consultants no longer have an approved licence from the Eco-Lighthouse Foundation.

The Eco-Lighthouse Foundation has a separate agreement with the consultants to ensure that they operate in line with the Eco-Lighthouse Foundation’s guidelines.


Information security and data processors

Informasjonssikkerhet og databehandlere

We have good routines and extensive measures to ensure that unauthorised persons do not gain access to your personal data, and that the processing of data takes place in accordance with the requirements of applicable legislation. Examples of such measures are risk assessments, implementation of organisational and physical measures adapted to this, access management and archiving routines, as well as routines for handling data and following up requests regarding the right of access, correction and deletion. Procedures have been implemented for notification in accordance with regulations in the event of data security breaches or suspected breaches. 

We may use the information we collect about you when we have reason to believe it is necessary to identify, contact or take legal action against persons or companies that may harm you, us or others. We may also disclose your information when we believe the law requires it.

The Eco-Lighthouse Foundation is responsible for personal data in its own IT systems and has internal procedures for the maintenance and deletion of personal data.

Employees of the Eco-Lighthouse Foundation have a duty of confidentiality that covers all data related to the customer, certifiers and consultants. We secure your personal data through access control related to the customer relationship.

The Eco-Lighthouse Foundation never asks for sensitive personal data in our systems. You as a user are solely responsible for not entering personal data in our tools. By sensitive information, we mean information that can be traced to individuals related to trade union membership, health, ethnicity, sexual orientation, etc.


Logging

Logging

We have general security logs in our business systems, and the security manager has been delegated responsibility for this.

The legal basis for this processing is Article 6(1)(f) of the General Data Protection Regulation, which allows us to process data that is necessary to safeguard a legitimate interest that outweighs the individual’s right to privacy. The legitimate interest is to secure the authority’s ICT infrastructure.


Use of data processors

Use of data processors

The Eco-Lighthouse Foundation has several subcontractors that provide services related to the further development, operation and security of our digital tools. These are subject to strict rules on data security and privacy through data processing agreements. 

The Eco-Lighthouse Foundation utilises its own subcontractors when it comes to services related to:

  • Operation, storage and backup of the Eco-Lighthouse Portal, the file server and e-mail server and the Eco-Lighthouse Foundation’s administrative user access.
  • Development, maintenance and testing in the Eco-Lighthouse Portal, as well as the function for granting access to external and internal contacts in the Eco-Lighthouse Portal.
  • Our CRM and ERP systems and synchronisation of data from the Eco-Lighthouse Portal to the various applications. Such transfer of personal data between systems is necessary in order to provide services in relation to our agreements with customers.
  • Operation and further development of the Eco-Lighthouse Foundation’s website, and responsibility for transferring data between the Eco-Lighthouse Portal and the Eco-Lighthouse Foundation’s website.
  • Production and dispatch of Eco-Lighthouse diplomas and storage of PDF signatures for pre-printing of diplomas.
  • Dedicated e-mail distribution tool for sending marketing campaigns and newsletters.
  • Dedicated IT tool used for various enrolments, customer surveys and evaluations.
  • Organisation of courses for customers, Eco-Lighthouse coordinators, certifiers, consultants and other relevant topics for the Eco-Lighthouse scheme.

The Eco-Lighthouse Foundation will not share, sell, transfer or otherwise disclose personal data to others beyond what is mentioned above unless we are legally obliged to do so or consent has been obtained in advance.

If you want access to our sub-processors, please send us an enquiry personvern@miljofyrtarn.no  


Transfers of personal data outside the EU/EEA

Transfers of personal data outside the EU/EEA

For course participants, we use a service from an application belonging to the USA, in this context we will transfer the following information: name, e-mail address and telephone number, as well as participation in courses and results from completed tests. This information is processed in California, USA. We have a data processing agreement and the technical and organisational measures required for data protection have been established. EU standard contractual clauses that fulfil the relevant requirements of European law are also used. The supplier is not authorised to use the personal data for its own or third party processing purposes.