Personvernerklæring

1. Innledning

Denne personvernerklæringen forklarer hvordan WiFlow (heretter «vi», «oss») behandler personopplysninger når du bruker nettstedet og tjenestene våre. Behandlingen skjer i samsvar med personopplysningsloven (implementering av GDPR i Norge) og EUs personvernforordning når det er relevant.

Vi søker å følge dataminimering og formålsbegrensning: vi behandler bare det som er nødvendig for tjenesten, informasjons- og sikkerhetsformål, og det du selv gir oss samtykke til (f.eks. markedsføring).

2. Behandlingsansvarlig

Behandlingsansvarlig for personopplysninger i WiFlow er den virksomheten som står bak tjenesten. Generelle henvendelser om avtale, produkt og støtte kan rettes slik det er oppgitt på vår hjemmeside. Personvernhenvendelser (innsyn, retting, sletting, innsigelse med mer) sendes gjerne til alex@tornoee.com med tydelig emne, f.eks. «Personvernanmodning – WiFlow».

For å behandle f.eks. innsyns- eller slettekrav må vi kunne verifisere deg tilstrekkelig, uten å gå ut over det som er nødvendig for selve kravet.

3. Hva er personopplysninger?

Med personopplysninger menes all informasjon som kan knyttes til en identifiserbar fysisk person. Eksempler er navn, e-postadresse, arbeidstid, lønns- eller fraværsopplysninger og i noen tilfeller IP-adresse, avhengig av kontekst.

4. Tjenesten WiFlow (konto, bedrift, ansatt)

Har du brukerkonto i WiFlow, behandler vi i hovedsak de opplysningene som er nødvendig for avtale med bedriften, innlogging, tidsregistrering, fravær, planlegging, rapportering, integrasjoner og sikkerhet. Lister over konkrete datatyper og vilkår følger av ditt selskaps bruk av produktet, integrasjoner (f.eks. regnskap) og egen informasjon til de ansatte.

Rettslige grunnlag (typisk for innloggede tjenester)

• Utøvelse av avtale: levering av WiFlow-tjenesten til kunden.
• Rettsforpliktelse: der vi er pålagd å oppbevare eller rapportere (f.eks. bokførings- eller arbeidsrettslig regelverk der dette følger av bruken).
• Berettiget interesse: drift, feilsøking, misbruksvernet og teknisk sikkerhet, så lenge det vurderes nødvendig og forholdsmessig.

5. Vaktplan-kalkulatoren (uten innlogging) og utskrift/PDF

Den åpne vaktplan-kalkulatoren (verktøy for vaktplan, stilling og arbeidstid) på /calculator krever ikke konto. Regnestykker og forslag utføres i hovedsak lokalt i nettleseren på din enhet, slik at vi normalt ikke mottar selve beregningene, med mindre du melder deg til oss på annen måte (f.eks. e-posthenvendelse).

Ønsker du å skrive ut eller lage PDF, ber vi i utgangspunktet om e-postadresse for å validere at noen faktisk etterspør funksjonen, og for å beregne hvor mange som ser nytte i et slikt verktøy – i tråd med vårt mål om å gjøre hverdagen enklere for bedrifter i hele Norge. I tillegg krever vi (etter gjeldende løsning) et særskilt, informert samtykke til at WiFlow noen ganger kan sende deg e-post med tilbud og nyheter knyttet til tjenesten, som du fritt kan trekke. Flyten er utformet for tydelig, dokumenterbart samtykke (GDPR).

Behandling vi lagrer knyttet til låsing for utskrift

• E-postadresse (normalisert) og tidspunkt for registrering – blant annet for validering, interessemåling og nødvendig dokumentasjon.
• At du har gitt samtykke til e-postkontakt med tilbud/nyheter knyttet til WiFlow, og hvilken versjon av samtykkesteksten som gjaldt.

Disse opplysningene loggføres i vår sikre database med begrenset, rollefordelt tilgang (f.eks. RLS/tilgangspolitikk der det er relevant). Dersom samme e-post brukes flere ganger, opprettes ikke unødvendig mange nye rader – eksisterende registrasjon gjenbrukes. Du kan når som helst trekke markedsføringssamtykke ved å melde deg av lenker i e-poster eller ta kontakt på e-post; retting og sletting ivaretas så langt praktisk mulig med utgangspunkt i GDPR, herunder begrenset lagring i tid for markedsføringsformål.

Rettslig grunnlag

Markedsføringen som beskrives overfor baseres i denne sammenhengen på ditt samtykke (GDPR art. 6(1)(a) og, der relevant, art. 7), som du fritt kan trekke. Bevaring av dokumentasjon for samtykket styrer vi i forhold til krav om etterprøvbarhet og sikkerhet, og vi minimerer lagring.

6. Databehandlere, lagring og tjenere

WiFlow benytter moderne skyløsninger for drift og base (f.eks. Supabase for database med tilgang begrenset gjennom tekniske nøkler, og egnet vertsmiljø). Databehandleravtaler inngås i tråd med praksis der personopplysninger håndteres, og tredjeparter får bare tilgang for å levere tjenesten, ikke fritt eget formål. Overføring utenfor EØS skjer bare der det finnes sikkerhetsgaranti (f.eks. avtalte klausuler eller tilstrekkelig beslutning).

7. Feilsøking, logger og sikkerhet

Ved alvorlige feil eller misbruk kan tekniske feilmeldinger og logger behandles, i noen grad med anonymisering, for å sikre stabilitet og sikre systemet. Retensjonsfrister og sikring er beskrevet nærmere i egen sikkerhets- og teknisk dokumentasjon, og samsvarer med forretningens nødvendighet (ikke evig). Vi skal så langt råd er, unngå å lagre unødvendige særlig sensitive opplysninger i slike logger.

8. Informasjonskapsler (cookies) og lokal lagring

Webbaserte funksjoner (blant annet mørk modus) kan bruke lokal lagring i nettleseren (f.eks. localStorage, sessionStorage). Slike valg ligger oftest på enheten din. Innloggede tjenester kan kreve nødvendige informasjonskapsler for sesjon/innlogging. Tredjepartsanalyse- eller markedsføringssporing er ikke hovedfokus i dette dokumentet, men følger ditt samtykke og gjelder samme retningslinjer ellers: informasjon og rettigheter etter bokført praksis.

9. Hvor lenge vi oppbevarer

Oppbevaringstid avhenger av formålet:

• Kontodata og tjenestebruk så lenge kundeforholdet består og inntil sletting er gjennomført, eventuelt lenger der lov krever arkiv.
• Markedsføring knyttet til e-postadresse så lenge det er frivillig samtykke og tjenesten søker å dokumentere samtykke, deretter i begrenset tid der lov eller berettiget nød krever sporbar.

10. Dine rettigheter

Du har, med de begrensninger loven sier, rett til:

• Informasjon (denne erklæringen) og, på forespørsel, mer detalj.
• Innsyn i de opplysningene som angår deg, der det følger forholdet (for innlogget bruker: typisk egen konto, i den utstrekning loven tilsier).
• Retting av feil, og begrensning av visse behandlinger i visse prosesser.
• Sletting («retten til å bli glemt») der vilkårene for dette i GDPR er oppfylt, mot eventuelle lovens krav mot lagring (f.eks. regnskaps- eller fakturagrunnlag).
• Dataflyttbarhet der rettighetene gjelder, og for automatiske behandlinger: under visse forhold innsigelse basert på din særlige situasjon.
• Trekk samtykke for behandling som støtter utelukkende samtykke, uten at det påvirker lovligheten av det som ble behandlet før trækket, der samtykke faktisk alene var rettighetsgrunnlaget.

11. Klage til tilsynsmyndighet

Du kan klage til Datatilsynet hvis du mener behandlingen bryter med regelverket. Se datatilsynet.no for prosess, språk og søknad.

12. Endringer i erklæringen

Vi oppdaterer dette dokumentet når tjenesten, juridiske krav eller sikkerhetsbildet tilsier det. Vesentlige endringer kan tydeliggjøres for innloggede kunder, og siste dato for oppdateringen øverst på denne siden skal samsvarere med siste faktisk innhold.