Personvernerklæring
STÖ GROUP AS — stogroup.no
Versjon 1.0 · Ikrafttredelse: 12. mars 2026 · Sist revidert: 12. mars 2026
1. Behandlingsansvarlig
Den behandlingsansvarlige for personopplysninger som samles inn og behandles via dette nettstedet er:
STÖ GROUP AS
Organisasjonsnummer: 935 699 819
Johan Berentsens vei 109
5163 Laksevåg, Bergen
E-post: personvern@stogroup.no
Nettsted: stogroup.no
STÖ GROUP AS er et norsk aksjeselskap registrert i Foretaksregisteret. Selskapet er morselskap i et konsern som blant annet eier SYDERA.io Technologies AS. Denne personvernerklæringen gjelder utelukkende for behandling av personopplysninger i tilknytning til nettstedet stogroup.no og de henvendelser som mottas gjennom dette nettstedet. Øvrige konsernselskaper har egne personvernerklæringer.
Dersom du har spørsmål om vår behandling av personopplysninger, kan du ta kontakt på e-postadressen ovenfor. Vi besvarer alle henvendelser innen 30 dager, jf. GDPR artikkel 12 nr. 3.
2. Hvilke personopplysninger vi behandler, og hvorfor
Vi behandler kun personopplysninger som er nødvendige for å oppfylle de formål som er beskrevet nedenfor. Vi samler ikke inn mer informasjon enn det som trengs, og vi behandler aldri personopplysninger til andre formål enn de som er oppgitt her, jf. GDPR artikkel 5 nr. 1 bokstav b (formålsbegrensning) og bokstav c (dataminimering).
2.1 Kontaktskjema
Når du fyller ut kontaktskjemaet på stogroup.no, behandler vi følgende opplysninger:
| Opplysning | Formål | Rettslig grunnlag |
|---|---|---|
| Navn | Identifisere avsender og adressere svar korrekt | GDPR art. 6 nr. 1 bokstav b (nødvendig for å besvare henvendelsen) |
| E-postadresse | Besvare henvendelsen | GDPR art. 6(1)(b) |
| Organisasjon / selskap | Forstå konteksten for henvendelsen | GDPR art. 6 nr. 1 bokstav f (berettiget interesse) |
| Henvendelsestype | Rute henvendelsen til riktig kontaktperson | GDPR art. 6(1)(b) |
| Innholdet i meldingen | Besvare henvendelsen | GDPR art. 6(1)(b) |
Vi behandler ikke særlige kategorier av personopplysninger (sensitive opplysninger) via kontaktskjemaet, jf. GDPR artikkel 9. Dersom du i meldingsfeltet frivillig oppgir opplysninger som kan klassifiseres som særlige kategorier — for eksempel helseopplysninger — vil vi behandle disse utelukkende for å besvare din henvendelse, og vi vil ikke lagre slike opplysninger utover det som er nødvendig for dette formålet.
2.2 Tekniske logger og nettstedsdrift
Ved besøk på stogroup.no behandles tekniske opplysninger som er nødvendige for å drifte nettstedet sikkert og stabilt. Dette inkluderer IP-adresse, nettlesertype, operativsystem, tidspunkt for besøk og hvilke sider som besøkes. Disse opplysningene behandles på grunnlag av GDPR artikkel 6 nr. 1 bokstav f (berettiget interesse), idet vi har en berettiget interesse i å sikre nettstedets tekniske funksjon og beskytte det mot misbruk.
IP-adresser anonymiseres eller slettes i henhold til lagringsfristen angitt i punkt 4.
2.3 Informasjonskapsler (cookies)
Nettstedet stogroup.no bruker et begrenset antall informasjonskapsler. Vi skiller mellom nødvendige informasjonskapsler og valgfrie informasjonskapsler:
Nødvendige informasjonskapsler er teknisk påkrevd for at nettstedet skal fungere korrekt. Disse lagres uten samtykke, jf. ekomloven § 2-7b og Datatilsynets veiledning om informasjonskapsler. De inneholder ingen personidentifiserende informasjon.
Vi bruker Plausible Analytics for å forstå hvordan besøkende bruker nettstedet. Plausible Analytics er EU-hostet, bruker ingen informasjonskapsler og krever ikke GDPR-samtykke for grunnleggende besøksstatistikk.
En fullstendig oversikt over hvilke informasjonskapsler vi bruker, deres formål og lagringstid, finnes i vår separate informasjonskapsel-erklæring (cookie-erklæring), tilgjengelig via lenken nederst på siden.
3. Hvem vi deler opplysninger med
Vi selger ikke personopplysninger til tredjeparter. Vi deler ikke personopplysninger med andre enn det som er nødvendig for å oppfylle de formål som er beskrevet i punkt 2.
Vi benytter følgende kategorier av databehandlere som behandler personopplysninger på vegne av oss:
| Kategori | Tjeneste | Formål | Overføring utenfor EØS |
|---|---|---|---|
| Nettstedshosting | Vercel Inc. (USA) | Drift og lagring av nettstedet | Ja — se punkt 3.1 |
| Skjemahåndtering | Formspree (USA) | Mottak og videresending av kontaktskjema | Ja — se punkt 3.1 |
| Analyse | Plausible Analytics (EU) | Anonymisert besøksstatistikk | Nei |
Med alle databehandlere har vi inngått databehandleravtaler i henhold til GDPR artikkel 28. Avtalene sikrer at databehandlerne kun behandler opplysningene i samsvar med våre instruksjoner og i henhold til GDPR.
3.1 Overføring til tredjestater
Noen av våre databehandlere er etablert i USA, som er en tredjestat utenfor EØS. Slike overføringer skjer i henhold til EU-kommisjonens standard kontraktsbestemmelser (Standard Contractual Clauses, SCC), jf. GDPR artikkel 46 nr. 2 bokstav c, og/eller i henhold til EU-U.S. Data Privacy Framework der dette er relevant.
Vi gjennomfører løpende vurderinger (Transfer Impact Assessments) av overføringer til tredjestater for å sikre at beskyttelsesnivået er tilstrekkelig.
4. Lagringstid
Vi lagrer personopplysninger kun så lenge det er nødvendig for de formål de ble samlet inn for, og ikke lenger enn det som er påkrevd av lov.
| Behandlingsaktivitet | Lagringstid | Begrunnelse |
|---|---|---|
| Kontaktskjema — henvendelser | 2 år fra mottaksdato | Nødvendig for å dokumentere og følge opp forretningsrelasjoner |
| Tekniske logger (IP-adresser m.m.) | 90 dager | Nødvendig for sikkerhet og feilsøking |
| Analytiske data | 13 måneder (rullerende) | Standard for webanalyse |
| E-postkorrespondanse | 5 år | Bokføringsloven § 13 og alminnelig forretningspraksis |
Etter utløp av lagringsfristen slettes eller anonymiseres opplysningene på en sikker og irreversibel måte.
5. Dine rettigheter
Som registrert har du følgende rettigheter etter GDPR kapittel III. Vi behandler alle rettighetsforespørsler kostnadsfritt og innen 30 dager, jf. GDPR artikkel 12 nr. 3. Dersom en forespørsel er særlig kompleks eller vi mottar mange forespørsler, kan fristen forlenges med ytterligere to måneder, og vi vil i så fall informere deg om dette.
Rett til innsyn (GDPR art. 15)
Du har rett til å få bekreftet om vi behandler personopplysninger om deg, og i så fall få innsyn i disse opplysningene samt informasjon om behandlingen.
Rett til retting (GDPR art. 16)
Du har rett til å kreve at uriktige personopplysninger om deg rettes uten ugrunnet opphold. Du har også rett til å få ufullstendige personopplysninger supplert.
Rett til sletting («retten til å bli glemt», GDPR art. 17)
Du har rett til å kreve at personopplysninger om deg slettes uten ugrunnet opphold dersom ett av de angitte vilkårene er oppfylt, blant annet dersom opplysningene ikke lenger er nødvendige for de formål de ble samlet inn for, eller dersom du trekker tilbake et samtykke som behandlingen er basert på.
Rett til begrensning av behandling (GDPR art. 18)
Du har rett til å kreve at behandlingen av dine personopplysninger begrenses i visse situasjoner, for eksempel dersom du bestrider opplysningenes riktighet eller har protestert mot behandlingen.
Rett til dataportabilitet (GDPR art. 20)
Dersom behandlingen er basert på samtykke eller avtale og skjer automatisert, har du rett til å motta personopplysningene om deg i et strukturert, alminnelig anvendt og maskinlesbart format, og til å overføre disse til en annen behandlingsansvarlig.
Rett til å protestere (GDPR art. 21)
Du har rett til å protestere mot behandling av personopplysninger om deg som er basert på GDPR artikkel 6 nr. 1 bokstav e eller f (offentlig interesse eller berettiget interesse), herunder profilering. Dersom du protesterer, vil vi ikke lenger behandle personopplysningene med mindre vi kan påvise tvingende berettigede grunner som går foran dine interesser, rettigheter og friheter.
Rett til å trekke tilbake samtykke (GDPR art. 7 nr. 3)
Der behandlingen er basert på ditt samtykke, har du rett til å trekke dette tilbake når som helst. Tilbaketrekking av samtykke påvirker ikke lovligheten av behandling som fant sted før samtykket ble trukket tilbake.
For å utøve dine rettigheter, send en skriftlig forespørsel til personvern@stogroup.no. Vi kan be om at du bekrefter din identitet for å sikre at vi ikke utleverer opplysninger til feil person.
6. Rett til å klage til Datatilsynet
Dersom du mener at vår behandling av personopplysninger er i strid med personvernregelverket, har du rett til å klage til Datatilsynet, som er den norske tilsynsmyndigheten for personvern.
Datatilsynet
Postboks 458 Sentrum, 0105 Oslo
Telefon: 22 39 69 00
E-post: postkasse@datatilsynet.no
Nettsted: datatilsynet.no
Vi oppfordrer deg likevel til å ta kontakt med oss direkte i første omgang, slik at vi kan forsøke å løse eventuelle problemer.
7. Informasjonssikkerhet
Vi behandler personopplysninger med høy grad av konfidensialitet og har iverksatt tekniske og organisatoriske sikkerhetstiltak som er egnet til å beskytte personopplysningene mot uautorisert tilgang, endring, utlevering, ødeleggelse eller tap, jf. GDPR artikkel 32.
Tiltakene inkluderer blant annet kryptering av data under overføring (TLS/HTTPS), tilgangskontroll basert på minste-privilegiums-prinsippet, regelmessig gjennomgang av sikkerhetsrutiner og databehandleravtaler med alle leverandører som behandler personopplysninger på vegne av oss.
Dersom det skulle oppstå et brudd på personopplysningssikkerheten som medfører høy risiko for de registrertes rettigheter og friheter, vil vi varsle de berørte registrerte uten ugrunnet opphold, jf. GDPR artikkel 34.
8. Særlig om STÖ GROUPs tilnærming til personvern
STÖ GROUP AS arbeider i skjæringspunktet mellom helse, arbeidslivsinformasjon og teknologi. Vi er bevisste på at dette er et område der personvern er særlig viktig, og der tilliten til oss som aktør avhenger av at vi behandler personopplysninger med integritet og varsomhet.
Vår tilnærming er basert på personvern som design (Privacy by Design), jf. GDPR artikkel 25. Dette innebærer at personvern er innebygd i våre systemer og prosesser fra grunnen av — ikke lagt til i etterkant. Vi behandler ikke særlige kategorier av personopplysninger (herunder helseopplysninger) via stogroup.no, og vi har ingen systemer for profilering eller automatiserte avgjørelser med rettslig eller tilsvarende virkning.
Konsernets teknologiselskap SYDERA.io Technologies AS er bygget rundt et arkitekturprinsipp om at plattformen ikke skal behandle personopplysninger som faller under GDPR artikkel 9. Dette er en bevisst designbeslutning, ikke en etterlevelsesøvelse. SYDERA.io Technologies AS har sin egen personvernerklæring tilgjengelig på sydera.no.
9. Automatiserte avgjørelser og profilering
STÖ GROUP AS foretar ikke automatiserte avgjørelser som har rettslig eller tilsvarende virkning for deg, jf. GDPR artikkel 22. Vi benytter ikke profilering av besøkende på stogroup.no.
10. Endringer i denne erklæringen
Vi kan oppdatere denne personvernerklæringen dersom det skjer endringer i vår behandling av personopplysninger, i gjeldende regelverk, eller dersom vi mottar veiledning fra Datatilsynet eller andre tilsynsmyndigheter som tilsier endringer.
Vesentlige endringer vil varsles tydelig på nettstedet. Dato for siste revisjon fremgår øverst i dette dokumentet. Vi anbefaler at du jevnlig leser gjennom erklæringen.
11. Kontakt
Alle spørsmål, forespørsler om utøvelse av rettigheter, eller bekymringer knyttet til vår behandling av personopplysninger rettes til:
STÖ GROUP AS — Personvernansvarlig
E-post: personvern@stogroup.no
Postadresse: Johan Berentsens vei 109, 5163 Laksevåg, Bergen
Vi besvarer alle henvendelser innen 30 dager.
Denne personvernerklæringen er utarbeidet i samsvar med GDPR (EU) 2016/679, personopplysningsloven av 15. juni 2018 nr. 38, og Datatilsynets veiledning om informasjonsplikt. Erklæringen dekker kravene i GDPR artikkel 12, 13 og 14.