đ PersonvernerklĂŠring og beredskapsplan for bedrifter
Snapper City
Org.nr.: 932 393 859
Oppdatert: 08.10.2025
Gyldig fra: Ved aksept eller bruk av tjenesten
1. Innledning
Denne personvernerklÊringen beskriver hvordan Snapper City AS behandler personopplysninger som ledd i vÄre tjenester overfor bedriftskunder og deres brukere.
FormÄlet er Ä sikre Äpenhet, trygghet og etterlevelse av personvernforordningen (GDPR) og personopplysningsloven.
Snapper City leverer en digital rekrutteringsplattform som lar bedrifter sÞke, administrere og kommunisere med kandidater. Vi legger stor vekt pÄ at bÄde kandidater og bedrifter skal ha tillit til at data behandles lovlig, sikkert og transparent.
2. Roller og ansvarsforhold
Snapper City AS opptrer som:
- Databehandler, nÄr vi behandler kandidatdata pÄ vegne av bedriftskunder i rekrutteringsprosesser.
- Behandlingsansvarlig, nÄr vi behandler kontaktopplysninger og brukerinformasjon for vÄre bedriftskunder, leverandÞrer og samarbeidspartnere.
Bedriftskunden er behandlingsansvarlig for kandidatdata som hentes eller behandles gjennom Snapper City-plattformen.
Et eget databehandleravtalevedlegg (DPA) regulerer forholdet mellom partene.
3. FormÄl med behandlingen
Snapper City behandler personopplysninger for Ă„:
- opprette og administrere bedriftskontoer, brukere og tilgang,
- levere og drifte Snapper Citys tjenester,
- hÄndtere kundeservice og support,
- utfĂžre fakturering og kontraktsoppfĂžlging,
- ivareta informasjonssikkerhet,
- oppfylle lovpÄlagte plikter, og
- behandle kandidatdata pÄ kundens vegne i trÄd med inngÄtt avtale.
4. Typer personopplysninger
| Kategori | Eksempler | FormÄl |
|---|---|---|
| Kundeopplysninger | Bedriftsnavn, org.nr., adresse, fakturainfo | Opprette og administrere kundeforhold |
| Kontaktpersoner | Navn, e-post, telefon, stilling | Kommunikasjon, support, fakturering |
| Brukerdata | Innloggings-ID, rolle, IP-adresse, aktivitet | Tilgangsstyring, drift og sikkerhet |
| Kandidatdata (pÄ vegne av kunde) | CV, sÞknad, profilinformasjon, kontaktinfo | RekrutteringsformÄl iht. databehandleravtalen |
5. Behandlingsgrunnlag
| Grunnlag | Henvisning GDPR | Eksempel |
|---|---|---|
| Avtale | Art. 6(1)(b) | Behandling nĂždvendig for Ă„ oppfylle kundeavtalen |
| Berettiget interesse | Art. 6(1)(f) | Drift, sikkerhet og kundekommunikasjon |
| Rettlig forpliktelse | Art. 6(1)(c) | BokfĂžrings- og regnskapsregler |
| Samtykke | Art. 6(1)(a) | MarkedsfĂžring der samtykke kreves |
Ved behandling av kandidatopplysninger pÄ kundens vegne er grunnlaget den inngÄtte databehandleravtalen (DPA).
6. Oppbevaring og sletting
- Kunde- og kontaktdata: lagres sÄ lenge avtalen lÞper og i inntil 12 mÄneder etter avslutning, med mindre lov krever lengre lagring.
- Kandidatdata: slettes eller anonymiseres i trÄd med kundens instruksjoner og databehandleravtalen.
- Tekniske logger: oppbevares i 90 dager for sikkerhetsformÄl.
7. Deling og overfĂžring av data
Snapper City deler kun data med:
- Underdatabehandlere som leverer drift, utvikling, analyse eller sikkerhetstjenester.
- Myndigheter, nÄr dette kreves ved lov.
Data behandles hovedsakelig innenfor EU/EĂS. Eventuelle overfĂžringer utenfor EU skjer kun med gyldig overfĂžringsgrunnlag, som EUs standardkontraktsklausuler (SCCs).
8. Sikkerhet og interne rutiner
Snapper City opprettholder hÞyt sikkerhetsnivÄ gjennom:
- Kryptert kommunikasjon (TLS 1.3)
- Hashing av passord og nĂžkkeldata
- Rollebasert tilgang (minste-rett-prinsipp)
- LoggfĂžring av innlogging og endringer
- Regelmessig sikkerhetskopiering og sÄrbarhetstesting
- Redundans i infrastruktur
- Revisjon av sikkerhetsrutiner minst Ă„rlig
9. Rettigheter for kontaktpersoner
Alle kontaktpersoner og brukere hos bedriftskunder har rett til Ă„:
- fÄ innsyn i hvilke data vi lagrer,
- fÄ rettet feilaktige opplysninger,
- fÄ slettet data der det er relevant,
- motsette seg behandling basert pÄ berettiget interesse,
- og klage til Datatilsynet dersom de mener regelverket brytes.
ForespĂžrsler sendes til kontakt@ snapper.city.
10. Varsling ved sikkerhetsbrudd
Snapper City har etablerte rutiner for varsling ved brudd pÄ personopplysningssikkerheten.
Dersom et brudd kan medfĂžre risiko for personers rettigheter, varsles:
- Datatilsynet innen 72 timer, og
- berĂžrte kunder uten ugrunnet opphold.
Detaljert prosedyre fĂžlger i beredskapsplanen (vedlegg 1).
11. Endringer i erklĂŠringen
ErklÊringen oppdateres ved behov. Vesentlige endringer varsles minst 30 dager fÞr de trer i kraft. Den til enhver tid gjeldende versjonen finnes pÄ www.snapper.city/personvern.
12. Kontakt
Snapper City AS
E-post: kontakt@ snapper.city
Adresse: FlÄtestadveien 7, 1415 OppegÄrd
Org.nr.: 932 393 859
Nettside: www.snappercity.no
đ Vedlegg 1: Beredskapsplan for hĂ„ndtering av sikkerhetsbrudd
1. FormÄl
Planen beskriver hvordan Snapper City identifiserer, hÄndterer og rapporterer brudd pÄ personopplysningssikkerheten i trÄd med GDPR art. 33 og 34.
2. Hva regnes som sikkerhetsbrudd
- Tap av data
- Uautorisert tilgang eller lekkasje
- Manipulering eller Ăždeleggelse av data
- Tap av tilgjengelighet (for eksempel systemfeil)
3. Roller og ansvar
| Rolle | Ansvar |
|---|---|
| Daglig leder | Overordnet ansvar, varsling til Datatilsynet |
| Personvernansvarlig (DPO) | Koordinering, dokumentasjon, risikovurdering |
| Teknisk ansvarlig (CTO) | Teknisk isolering, logganalyse, gjenoppretting |
| Kommunikasjonsansvarlig | Varsling til kunder, mediahÄndtering |
| Alle ansatte | Melde mistenkte brudd umiddelbart |
4. Varslingsplikt
- Intern varsling: straks etter oppdagelse
- Vurdering: innen 24 timer
- Varsel til Datatilsynet: innen 72 timer (hvis risiko foreligger)
- Varsel til berĂžrte kunder: uten ugrunnet opphold
5. Prosedyre
Fase 1 â Oppdagelse
Brudd meldes til personvernansvarlig. Teknisk team isolerer berĂžrte systemer.
Fase 2 â Vurdering og dokumentasjon
Registrer:
- tidspunkt
- hva som har skjedd
- omfang og konsekvenser
- tiltak som iverksettes
Fase 3 â Varsling
Datatilsynet varsles digitalt. BerÞrte kunder fÄr tydelig informasjon om hendelsen.
Fase 4 â Tiltak og gjenoppretting
- Gjenoppretting av data og tjenester
- Endring av passord og tilgangsrettigheter
- Implementering av forebyggende tiltak
Fase 5 â Etterkontroll
- Hendelsen evalueres
- Planen oppdateres
- LĂŠring dokumenteres
6. Dokumentasjon
Alle hendelser loggfĂžres og oppbevares i intern sikkerhetslogg i minst 5 Ă„r.
7. Samhandling med underleverandĂžrer
Underdatabehandlere har plikt til Ä varsle Snapper City ved brudd. Snapper City varsler videre berÞrte kunder og bistÄr ved behov.
8. Kontaktpunkter
| Rolle | Navn | E-post |
|---|---|---|
| Daglig leder | Heidi Alice Vennevik | kontakt@ snappercity.no |
| Personvernansvarlig (DPO) | Heidi Alice Vennevik | kontakt@ snappercity.no |
| Teknisk ansvarlig | Heidi Alice Vennnevik | kontakt@ snappercity.no |
9. Revisjon og testing
Planen revideres Ă„rlig og testes minst Ă©n gang per Ă„r gjennom simulering av sikkerhetsbrudd.