oppd. 23.10.21

PERSONVERN

1.Innledning

1.1.Hensikt

Skape muligheter sammen vil med denne personvernerklæringen dokumentere at vi tar vare på våre brukere og registrertes opplysninger og at vi behandler disse i samsvar med gjeldende norsk personvernlov, herunder EUs personvernforordning (GDPR).

Personvernerklæringen gir en oversikt over hvilke rettigheter våre brukere og registrerte personer har knyttet til sine personopplysninger. Den inneholder informasjon om hvilke personopplysninger Skape muligheter sammen:

  • samler inn, behandler og lagrer

  • hva slags informasjon som benyttes om våre brukere

  • hva opplysningene brukes til

  • hvordan en bruker kan få innsyn i hvilke opplysninger som er lagret

  • hvordan man kan be om at sine personopplysninger slettes

  • hvilke databehandlere og tredjeparter som har tilgang på opplysningene

  • hvordan vi beskytter de registrerte brukernes personvern.

1.2.Definisjoner

Med den registrerte eller brukeren mener vi den personen opplysningene gjelder, for eksempel en ansatt, en frivillig, en mottaker av Skape muligheter sine tilbud og aktiviteter, en giver, en som abonnerer på Skape muligheter sammen sitt nyhetsbrev, eller en kontaktperson hos en leverandør. Det vil i praksis si alle personer vi behandler og lagrer opplysninger om.

Personopplysninger er opplysninger og vurderinger som kan knyttes til en identifiserbar enkeltperson. Eksempel på slike opplysninger er navn, adresse, fødselsdato og fødselsnummer, telefonnummer, gjenkjennbart bilde, e-postadresse og dynamisk IP-adresse.

Behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. All behandling av personopplysninger er underlagt den til enhver tid gjeldende personopplysninglov.

Det er behandlingsansvarlig som har ansvaret for å følge reglene. En bedrift eller organisasjon regnes som behandlingsansvarlig når den bestemmer formålet med behandlingen av personopplysninger og hvordan de skal brukes. Organisasjonen beholder ansvaret selv om en tredjeparts databehandler, som f.eks. systemleverandører, myndigheter eller regnskapsførere, er involvert. Slike regnes som databehandlere. Organisasjonen er ansvarlig for å ha en avtale med hver av disse som skal sørge for at denne databehandleren følger reglene som gjelder for organisasjonen. Nærmere om dette i punkt 3.4.

2.Rettigheter

2.1.Rett til innsyn (GDPR artikkel 15)

Den registrerte har rett til å få innsyn i om og hvilke opplysninger vi har lagret om ham/henne. Den som ønsker innsyn, kan sende en henvendelse til elisabeth@skapems.no og merke eposten med «Innsyn i personopplysninger». Henvendelsen vil da formidles til korrekt behandlingsansvarlig og svar på forespørselen skal foreligge innen en måned fra henvendelsen mottas (GDPR artikkel 12). Dersom det ikke er mulig å behandle forespørselen innen denne fristen, vil det gis informasjon om dette innen en måned fra henvendelsen mottas.

2.2.Retten til å bli glemt (GDPR artikkel 17)

I henhold til lovgivningen har den registrerte rett til å kreve sletting av egne personopplysninger. Dette kalles retten til å bli glemt. Den registrerte kan kreve at opplysninger om ham/henne kan slettes blant annet når;

a. det ikke lenger er nødvendig å ta vare på opplysningene for å oppnå formålet med behandlingen

b. behandlingen er basert på samtykke, og samtykket trekkes tilbake

c. de registrerte har rett til å motsette seg behandlingen av personopplysninger

d. personopplysningene har blitt behandlet i strid med reglene

e. personopplysningene har blitt samlet inn i forbindelse med barns bruk av nettjenester

Skape muligheter sammen ønsker – for statistiske formål – å fortsette lagring av enkelte opplysninger med hjemmel i GDPR artikkel 89. Følgende opplysninger ønskes beholdt etter sletting av øvrige personopplysninger knyttet til vedkommende:

  • Frivillig/koordinator/styremedlem – kjønn, alder, nasjonalitet, dato/periode for aktivitet.

  • Givere – kjønn, alder, postnummer, donert beløp, måned/år for donasjon

Personopplysninger kan behandles på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e dersom det er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål, selv om det ikke lenger er nødvendig etter sitt opprinnelige formål. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.

I henhold til GDPR artikkel 89 nr. 1 skal det være innført tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes. Skape muligheter sammen sørger for at opplysningene som forblir lagret, anonymiseres og krypteres. Opplysningene vil videre kun behandles til å dokumentere organisasjonens virksomhet overfor Skattemyndighetene, offentlige instanser eller lignende i forbindelse med søknadsprosesser, informasjonsarbeid og situasjoner det er påkrevet å redegjøre for organisasjonens arbeid og resultater.

Særlige kategorier av personopplysninger

Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er i henhold til GDPR artikkel 9 nr. 1 forbudt.

Det er imidlertid unntak fra dette forbudet (artikkel 9 nr. 2 bokstav j), blant annet for statistiske formål. Forutsetningene er at behandlingen skjer i samsvar med artikkel 89 nr. 1 på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser. Dette betyr at dersom en registrert ønsker å få slettet alle sine opplysninger, kan personopplysninger likevel behandles uten samtykke fra den registrerte dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål og samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte.

Skape muligheter sammen vurderer at samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. Det er selvsagt mulig å klage på dette, se nedenfor i punkt 2.6 om klagerett.

Den som ønsker sine personopplysninger slettet, kan sende en henvendelse til elisabeth@skapems.no og merke eposten med «Sletting av personopplysninger». Henvendelsen vil da formidles til korrekt behandlingsansvarlig og svar på forespørselen skal foreligge innen en måned fra henvendelsen mottas. Dersom det ikke er mulig å behandle forespørselen innen denne fristen, vil det gis informasjon om dette innen en måned fra henvendelsen mottas.

Skape muligheter sammen vil, etter henvendelse fra den registrerte med anmodning om sletting av personopplysninger, sende en tilbakemelding som inneholder bekreftelse på at de opplysningene som kan identifisere vedkommende er slettet, samt informasjon om hvilke opplysninger som ønskes beholdt fra organisasjonens side. Dette er behandlet over.

2.3.Retten til å kreve begrensning (GDPR artikkel 18 og 19)

Dersom den registrerte ikke ønsker at opplysninger skal slettes eller bestrider at opplysningene er korrekte, kan vedkommende kreve at behandlingen av personopplysningene begrenses. Med begrensning menes at opplysningene lagres, og kan kun brukes:

a. med den registrertes samtykke

b. for å forsvare et rettskrav

c. for å forsvare en annens rettigheter, eller

d. for å ivareta viktige samfunnsinteresser

Når opplysningene skal slettes eller begrenses, har den behandlingsansvarlige plikt til å formidle dette til alle som har mottatt personopplysningene, med mindre dette er uforholdsmessig eller umulig.

2.4.Retten til dataportabilitet (GDPR artikkel 20)

Dersom noen behandler personopplysninger basert på samtykke, for eksempel for å oppfylle en avtale med den registrerte, kan den registrerte kreve å ta med seg opplysningene sine til en annen virksomhet. Dette kalles dataportabilitet. Dersom det er teknisk mulig, kan den registrerte kreve at den behandlingsansvarlige sørger for å overføre opplysningene til den nye virksomheten.

Opplysningene skal være i et strukturert, allment brukt og maskinlesbart format. Retten til dataportabilitet gjelder ikke for behandlinger som er nødvendige for å gjennomføre oppgaver i samfunnets interesse eller under offentlig myndighetsutøvelse.

2.5.Retten til å motsette seg behandling

Enkeltpersoner har rett til å reservere seg mot at personopplysningene deres behandles i enkelte tilfeller. All behandling av personopplysninger skal ha et behandlingsgrunnlag. Hva som er et gyldig behandlingsgrunnlag, fremgår av GDPR artikkel 6 og 9. Om den enkelte kan reservere seg, kommer an på hva behandlingsgrunnlaget er eller hva formålet er. Enkeltpersoner kan reservere seg dersom:

a. Opplysningene behandles fordi det er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet etter forordningen art. 6 (1) (e)

b. Opplysningene behandles med grunnlag i en interesseavveining etter art. 6 (1) (f)

c. Formålet med behandlingen er direkte markedsføring (uavhengig av hva behandlingsgrunnlaget er)

Dersom en person motsetter seg, må den behandlingsansvarlige slutte å behandle personopplysningene og slette dem. Den behandlingsansvarlige kan likevel fortsette å behandle personopplysningene dersom virksomheten kan vise til tvingende, berettigede grunner for behandlingen som går foran den enkeltes personvern og rettigheter (se over i punkt 2.2). Det samme gjelder dersom behandlingen er nødvendig for å ivareta et rettskrav. Unntaket gjelder ikke når formålet er direkte markedsføring. Da har den enkelte alltid rett til å motsette seg. Givere har anledning til å bestemme hva slags informasjon og henvendelser man ønsker å motta, og kan henvende seg til elisabeth@skapems.no for å oppdatere samtykker og reservasjoner.

2.6.Klagerett

Brukere/registrerte har rett til å klage til Datatilsynet på behandlingen av sine personopplysninger, dersom de mener det har skjedd i strid med gjeldende personvernregler.

3.Personopplysninger – behandling og lagring av disse

3.1.Hvilke opplysninger vi samler inn

Avhengig av hvilken type bruker den registrerte er og hvilken rolle den har, samler vi inn opplysninger som er nødvendig for organisasjonens virke.

Om mottakere av våre nyhetsbrev lagrer vi epostadresse. Fornavn, etternavn og telefonnummer lagres dersom mottaker selv har opplyst om dette.

Om givere/de som donerer penger til organisasjonen lagrer vi opplysninger vedkommende selv har gitt oss. Dette kan være navn, fødselsdato, adresse, epostadresse og telefonnummer. Vi lagrer ikke, men har tilgjengelig informasjon om eventuelt brukernavn på Facebook (gjennom innsamlingsaksjoner på Facebook).

Om fremtidige, aktive eller tidligere frivillige lagrer vi følgende personopplysninger som de selv har gitt til oss:

  • Frivillige i Norge - navn, nasjonalitet, alder/fødselsdato, telefonnummer, e-post og start og sluttdato.

  • Styremedlemmer - navn, nasjonalitet, fødselsdato, fødselsnummer, telefonnummer, adresse, e-post og yrke, kopi av pass, og start og sluttdato.

  • Koordinatorer - navn, nasjonalitet, fødselsdato, fødselsnummer, kontonummer, arbeidsavtale, telefonnummer, adresse, e-post, arbeidserfaring, kopi av pass, nasjonalt ID kort, attester fra politi og fengselsmyndigheter og start og sluttdato.

  • Frivillige i Honduras - navn, nasjonalitet, fødselsdato, fødselsnummer, telefonnummer, adresse, e-post, arbeidserfaring, kopi av nasjonalt ID kort, ut fra ansvar, attester fra politi og fengselsmyndigheter og start og sluttdato.

  • Mottakere - navn, nasjonalitet, fødselsdato, fødselsnummer, telefonnummer, adresse, e-post, arbeidserfaring, kopi av nasjonalt ID kort, fødselsattest (barn – under 18 år), karakterutskrift (ved mottak av studiestøtte), forspørsel/søknad, kontrakt og start og sluttdato.

Ved handel i vår nettbutikk, lagres navn, adresse, epostadresse og hvilke produkter de har handlet.

3.2. Personopplysningene samles inn på følgende måte:

Mottaker av nyhetsbrev - via egen påmelding til nyhetsbrev gjennom vår nettside, ved kjøp av produkt i nettbutikken og når man ir gave. I alle tilfeller gis det samtykke til å motta nyhetsbrev.

Giver/donor - via egen registrering, der giver oppgir opplysningene selv, som fast giver gjennom bank eller Vipps, eller gjennom økonomisk bidrag gitt en gang.

Frivillige - ved sin personlige henvendelse til Skape muligheter sammen, hvor vedkommende oppgir opplysninger fysisk eller digitalt selv.

Ansatt/koordinator - opplysninger gis av den ansatte selv før utarbeidelse av arbeidskontrakt.

Kjøper (handel i nettbutikk) - kjøper oppgir nødvendige opplysninger selv når de registrerer sitt kjøp.

3.3.Hva opplysningene brukes til/formål?

Personopplysninger vil ikke bli lagret lenger enn det som er nødvendig for å oppfylle formålet med behandlingen. Formålet med behandling/lagring av de ulike typer personopplysninger avhenger av hvilken type engasjement den registrerte har i Skape muligheter sammen, og fremgår av de forskjellige punktene beskrevet nedenfor:

  • Mottaker av nyhetsbrev - for å kunne sende ut nyhetsbrev som den registrerte har bedt om, trenger vi å lagre epostadresse.

  • Giver/donor – For å kunne rapportere til skattemyndighetene for de som ønsker skattefradrag, samt for å sikre forutsigbarhet og holde oversikt over organisasjonens finansielle situasjon og for å kunne utarbeide statistikker. For å informere givere om betydningen og effekten givers bidrag har.

  • Frivillig/koordinator/styremedlem - vi trenger informasjon over aktivitetsnivå til frivillige, samt nasjonalitet, kjønn og alder for å best mulig kunne planlegge deltagelse og en god bemanning ved gjennomføring av vårt arbeid. E-postadresse er nødvendig for å sende den aktuelle personen informasjon. For å gjennomføre arbeidet ved aktuelle lokasjoner er det fra nasjonale myndigheter krevet informasjon om personopplysninger nevnt over. Lokale myndigheter kan også kreve noen av nevnte personopplysninger for å føre tilsyn eller godkjenne aktiviteter Skape muligheter sammen gjennomfører. Opplysninger om frivillige og koordinatorers pårørende trenger vi dersom det er nødvendig å komme i kontakt med disse om det skulle inntreffe en krisesituasjon eller en hendelse som den vedkommende er utsatt for. I henhold til Arbeidsmiljøloven, skal alle ansatte ha arbeidskontrakter som skal inneholde personopplysninger som er beskrevet over. Dette er nødvendig for å utbetale rett lønn. Myndigheter og forsikringsselskapet trenger opplysninger knyttet til pensjon- og ansattforsikring.

  • Kunde i nettbutikk - for å kunne sende ut produkter kjøpt i vår nettbutikk.

  • Mottaker – for å kunne dokumentere arbeidet vårt overfor myndighetsorganer og på best mulig måte å forvalte de økonomiske midlene Skape muligheter sammen mottar.

3.4.Hvor opplysningene lagres

Personopplysningene behandles av tredjeparts systemleverandører (databehandlere) i databaser som er nødvendig for oss å bruke for å holde oversikt over vårt arbeid. Det er inngått databehandleravtaler med relevante aktører. Nærmere beskrivelse av formål med lagring av opplysningene fremgår av punktene over. Følgende databehandlere/institusjoner lagrer opplysninger: Solidus, Sparebank 1 SR-Bank, WIX, Stripe, Facebook, Vipps, PayPal/Zettle, Microsoft.

Skape muligheter sammen vil ikke dele, selge, formidle eller på annen måte utlevere personopplysninger om den registrerte på annen måte enn det som fremgår av denne personvernerklæringen med mindre vi er pålagt dette som følge av en bindende rettsavgjørelse eller vi har innhentet den registrerte sitt samtykke. Dette er imidlertid ikke til hinder for at vi kan benytte en databehandler som behandler personopplysningene på våre vegne i henhold til databehandleravtalen. Databehandlere som får tilgang til den registrertes/brukerens

personopplysninger i forbindelse med levering av tjenester til Skape muligheter sammen – (eksempelvis når vi bruker en tredjepart til å gjennomføre betalingstransaksjoner eller lagre informasjon på en webserver) er underlagt taushetsplikt, og de har ikke lov å bruke denne informasjonen på noen annen måte enn i utførelsen av tjenester for oss, jf. GDPR artikkel 28. Samtlige av disse har også regler for behandling av personopplysninger i henhold til GDPR. Linker til våre systemleverandørers/databehandleres personvernerklæringer:

WIX: https://no.wix.com/about/privacy

Solidus: https://solidus.no/personvernerklaering/

Sparebank 1 SR-Bank: https://www.sparebank1.no/nb/sr-bank/om-oss/personvern.html

Facebook: https://www.facebook.com/privacy/explanation

Vipps: https://www.vipps.no/vilkar/cookie-og-personvern

Microsoft: https://privacy.microsoft.com/nb-no/privacystatement

PayPal: https://www.paypal.com/myaccount/privacy/privacyhub?locale.x=no_NO

Zettle: https://www.zettle.com/no/juridisk/personvernerklaering

Stripe: https://stripe.com/en-no/privacy

4.Sikkerhet/Sikring av personopplysninger/ rutiner

4.1.Rutiner og tiltak

Vi har etablert rutiner og tiltak på ulike nivåer for å sikre at uvedkommende ikke får tilgang til brukeres/registrertes personopplysninger og at all behandling av opplysningene for øvrig skjer i tråd med gjeldende rett. Tiltakene inkluderer blant annet jevnlige risikovurderinger, tekniske systemer og fysiske prosedyrer for å ivareta informasjonssikkerhet og rutiner for å verifisere innsyns- og rettingsforespørsler. Det er innført rutiner og tiltak dersom det oppdages avvik i behandling eller lagring av personopplysninger.

4.2.Bruk av analyseverktøy, informasjonskapsler og annen teknologi

Vi jobber kontinuerlig med brukeropplevelsen på vår nettside. Derfor samler vi forskjellige typer informasjon fra våre brukere, slik at vi til enhver tid kan tilrettelegge for best mulig funksjonalitet. Eksempler på slik informasjon er hvilke sider som besøkes, når på døgnet besøket ble gjort og hvilken nettleser som ble brukt. Vi bruker også ulike former for teknologi for å gjenkjenne våre brukere og for å analysere data om disse. Teknologien brukes dels fordi det er nødvendig for at tjenester skal fungere, dels for at det skal være lettere å bruke tjenesten og dels for at vi skal kunne gjennomføre analyser som gjør oss i stand til å videreutvikle tjenesten vår. Ved å bruke vår tjeneste samtykker brukerne til at vi kan benytte slike verktøy, med mindre de deaktiverer verktøyene eksempelvis ved å endre innstillinger for informasjonskapsler i deres nettleser, eller deaktiverer et tredjepartsverktøy ved å klikke på en opt-out lenke.