Datamottakere og tredjepartbehandlere – alle detaljer

Introduction

Dette dokumentet er en del av Schibsteds regler for personvern og bruk av informasjonskapsler.

Brukere har lovfestet rett til å bli informert om hvordan deres informasjon behandles. Denne beskrivelsen av tredjeparter, i tillegg til personvernerklæringen og reglene for bruk av informasjonskapsler og tilknyttede dokumenter, er en del av Schibsteds arbeid med å innfri denne rettigheten ovenfor våre kunder.

Hvordan Schibsted forholder seg til tredjeparter som trenger adgang til informasjon om deg

Når Schibsted behandler personopplysninger deles de noen ganger med tredjeparter. Disse andre partene er enten

  • Databehandlere, det vil si selskaper som arbeider i henhold til en bindende, juridisk kontrakt med Schibsted Norge og som kun kan behandle data for det spesifikke formålet som Schibsted Norge gir dem tillatelse til, og som i den behandlingen kun kan benytte andre tredjeparter som de har fått tillatelse til av Schibsted Norge. Eksempler på det er VG, Aftenposten, Amazon Web Services, Zuora og lignende selskaper.

eller

  • Behandlingsansvarlige, det vil si selskaper som på selvstendig grunnlag har fullt ansvar i forhold brukeren med hensyn til formålet med behandlingen av deres personopplysninger og fullt ansvar for enhver tredjepart som kan være involvert i behandlingen av personopplysninger. Hos Schibsted kan overføring av slike personopplysninger skje fordi det er nødvendig å levere et produkt eller en tjeneste til deg (for eksempel oppgi din adresse til et distribusjonsfirma for å levere et produkt). På de sidene våre som viser reklame har en liste med utvalgte firmaer og forhandlere tillatelse til å kjøpe annonse-informasjon fra oss. I noen tilfeller betyr det at selskaper og/eller forhandlere opererer som selvstendige behandlingsansvarlige med hensyn til data som blir behandlet. Du kan finne mer informasjon om hva som skjer når du blir vist målrettet reklame her.

Schibsted er en gruppe med selskaper. Det vil si at konsernet består at flere forskjellige juridiske enheter. Schibsted Norge AS er behandlingsansvarlig for behandlingen av personopplysninger som beskrevet i dette dokumentet og i personvernerklæringen og reglene for bruk av informasjonskapsler. Schibsted Norge definerer formålene og metodene for behandlingen av personopplysningene som beskrives. I den grad andre selskaper i Schibsted-gruppen behandler personopplysninger hvor Schibsted Norge AS er behandlingsansvarlig handler de juridisk sett som databehandlere på vegne av Schibsted Norge AS. Det betyr, på samme måte som generelt beskrevet ovenfor, at de ikke kan behandle informasjonen med andre formål enn det som er bestemt av Schibsted Norge AS.

Schibsteds tjenester leveres for det meste via internett i form av nettsider og apper. Schibsted bruker tredjeparter til å behandle personopplysninger fra brukere for å støtte vår tekniske levering av disse tjenestene og for de spesifikke formålene som beskrives i dette dokumentet.

I listen under finner du informasjon om databehandlerne vi benytter, kategorisert under hovedformålene for bruken av dem. Lengre ned finner du informasjon om behandlingsansvarlige som vi oppgir informasjon til eller som vi tillater at innhenter informasjon om våre brukere på våre sider.

DATABEHANDLERE

Formål 1: Dataanalyse, personlig tilpasning og verktøy for kundebehandling

Dette er verktøy som benyttes av våre foretak-, produkt- og utviklingsteam for å analysere brukeradferd og for å benytte den informasjonen til å finne de mest nyttige produkt- og tjenesteforbedringene for våre brukere og våre foretak. De benyttes også for å levere og forbedre kundeservice til våre brukere.

Når en bruker benytter kontrollene på innstillingssiden hos en Schibsted-tjeneste for å endre på tillatelsene til å bruke data til tjenesteforbedring og til personlig tilpasning fører det samtidig til at samme endringer blir gjort i tillatelsene til de enkelte tjeneste-teamene hos Schibsted i forhold til å benytte din informasjon i verktøyene til de tredjepartene med slike hensikter.

Behandlere i denne kategorien i bruk hos Schibsted Norge er:

Amplitude, Google Analytics, Google Firebase, Google Forms, Hotjar, JW Statistics, Linkpulse, OBIEE, Snowflake, Tableau, Xiti and Youbora.

Formål 2: Datalogger

Systemer med datalogger lagrer handlingene til brukerne hos våre produkter og de påfølgende tekniske systemaktivitetene for å hjelpe til med å gjøre våre tjenester pålitelige og raske. De benyttes også til sikkerhetshensyn, og hjelper oss til å overvåke og etterforske mulig ødeleggende aktivitet i systemene våre slik at vi kan beskytte brukerne våre bedre.
I den grad datalogger brukes til produktforbedring er de underlagt samme kontroller som beskrevet ovenfor. Vi pleier imidlertid av sikkerhetshensyn ikke å gi brukere mulighet til å velge bort prosesser relatert til datalogger fordi det ville kompromittere sikkerheten for alle brukerne av våre tjenester.

Behandlere i denne kategorien og som benyttes av Schibsted Norge er:

Datadog, Librato, Logentries, New Relic, Quotaguard, Rollbar, Sentry, Sumologic og HockeyApp.

Formål 3: Underliggende datalagring og overføring

Schibsted jobber med tredjepart-bedrifter for å utføre grunnleggende tekniske handlinger med informasjonen, som f.eks. lagring og som vert for datamaskinene databasene drives fra, driften av selve databasen og sikker overføring av data mellom nettverk for å nå andre Schibsted-systemer eller for å nå en brukers enhet. Denne informasjonen inkluderer personopplysninger for våre brukere. Disse behandlingsaktivitetene er strengt nødvendige (dvs. uunngåelige) for å kunne levere nettbaserte tjenester til våre brukere. Som et resultat av det gir vi vanligvis ikke brukere mulighet til å velge bort at deres personopplysninger blir benyttet til disse formålene.

Behandlere i denne kategorien som benyttes av Schibsted Norge er:

Akamai, Amazon Web Services, Dynamo DB, Heroku, IBM Softlayer, Mulesoft og NGINX. 

Formål 4: Brukergrensesnittfunksjoner

I noen tilfeller benytter Schibsted funksjoner som leveres via tredjeparter for å gjøre bestemte funksjoner tilgjengelige for brukere.

For disse funksjonene gjelder det at de enten

  • har egne innebygde kontroller for informasjon som brukerne kan benytte for å gjøre valg med hensyn til databehandling (f.eks. våre e-avistjenester), eller
  • er styrt av personvernvalgene fra de samme innstillingene som leverer den Schibsted-tjenesten.

Behandlere i denne kategorien som benyttes av Schibsted Norge er:

Visiolink, Google Search, Hoopla, JW Player, JW Recommendations, Shopify

Formål 5: Administrasjon av konto og abonnement, betaling, kundeservice og systemer for markedsføring

Schibsted benytter forskjellige tredjepart systemleverandører som hjelper oss med å administrere og verifisere abonnementskontoer. Vi benytter også tredjeparts verktøyer for markedsføring ovenfor brukere og kunder. Disse markedsføringsaktivitetene skjer som en del av kommunikasjonen til brukere innen våre internettjenester, via e-post og via reklame for Schibsted-tjenester som vises i andre internettjenester som f.eks. Facebook.

Vi benytter også verktøy fra tredjeparter for å hjelpe til å drive og levere vår kundeservice-funksjon.

Behandlere i denne kategorien og som Schibsted Norge benytter er:

Arvato, Bisnode, Braze, Adobe Campaign Manager, ediEX, Eloqua, Facebook, Fortumo, Google Ad Manager, Intrum, Lindorff, LinkMobility, Netigate, Outfox, Puzzel, Sendgrid, Siebel CRM, Typeform,  Zendesk, Zuora.

Formål 6: Reklame for B2B-relaterte databehandlere

Schibsted Norge benytter behandlerne i listen under til å administrere salg og støttefunksjoner for reklame for våre reklamekunder innen bedrift-til-bedrift. Enkeltpersoner kan få tilgang til alle rettighetene de registrerte har med hensyn til denne behandlingen ved å bruke kontaktskjemaet fra personvernerklæringen nederst her. Kun personopplysninger til bedriftskontakter fra annonsører eller annonserings-relaterte selskaper behandles på denne måten. Mer informasjon om vår behandling av personopplysninger i B2B-sammenheng finnes i våre særskilte personvernerklæring for B2B-markedet som finnes her.

Schibsted Norge

Schibsted Sverige

Formål 7: Reklamerelaterte behandlere av brukeres personopplysninger

Schibsted benytter disse behandlerne for å levere, tilpasse og måle effektiviteten til reklamer vist gjennom Schibsteds tjenester:

Adform, AppNexus, Delta Projects, Seenthis, Sizmek, Nordic Factory Solutions AB, New Relic, Bid Theatre, Meetrics, DoubleVerify, Google, Kobler, Audience Project, Madington, MediaMath, ArtWorx, Norstat, Tactic, Impact

BEHANDLINGSANSVARLIGE

Fornål 8: Reklamerelaterte ansvarlige

Reklameindustrien benytter et sofistikert utvalg av teknologier for å legget til rette for mange markedsdeltagere som kan levere bestemte elementer i reklameprosessen til reklamekunder. Dette fører ofte til at data blir delt mellom mange parter, og noen av de er selvstendige behandlingsansvarlige for informasjonen.

Schibsted har strenge regler ovenfor andre behandlingsansvarlige som mottar informasjon innhentet på Schibsteds sider eller gjennom reklameinnhold på Schibsteds sider, som beskriver hvilken informasjon som deles og hvordan denne informasjonen kan benyttes.

Vi sjekker at alle slike nye behandlingsansvarlige som Schibsted kan komme til å dele personopplysninger med eller som vi tillater å ta del i vår reklamevirksomhet også følger disse standardene.


Alle detaljer, inkludert en liste over partnere vi deler informasjon med, finnes her.

Schibsted har forpliktet seg på å arbeide sammen med brukere, myndigheter og partnere innen reklameindustrien for å sikre brukernes rettigheter og at de legitime interessene til Schibsted og våre partnere blir respektert innen databehandling relatert til reklame.

Formål 9: Schibsted-konto kun som innloggingsløsning

I noen tilfeller benyttes Schibsteds identitetsløsning, Schibsted-konto, av selskaper utenfor Schibsted-gruppen som en innloggingsløsning. Det vil si en løsning for å gi brukere sikker tilgang til sine tjenester, for å opprette trygge identiteter og verifisert kontaktinformasjon for de brukerne. Disse selskapene vil trenge brukerprofil-informasjonen (kun for side direkte brukere) fra Schibsted-kontoen, og har tilgang til denne informasjonen som behandlingsansvarlig. En komplett liste over slike dataansvarlige finnes her:

  • Polaris Media AS
  • VB Bok AS (eBok.no)
  • Finn.no AS

Videre spørsmål

Kontakt Schibsteds personvern-team via dette kontaktskjemaet hvis du har spørsmål om Schibsteds forhold til disse tredjepartene og hvordan din informasjon kan blir delt med dem. Schibsted har forpliktet seg på å svare innen 30 dager.

Les mer…