Personvernerklæring
Kommunearkivinstitusjonenes Digitale Ressurssenter (KDRS) vil i forbindelse med vår virksomhet behandle personopplysninger. Vi er opptatt av å behandle personopplysninger på en betryggende og tillitsvekkende måte.
Nedenfor beskrives formålet og bakgrunnen for vår behandling av personopplysninger, hvilke opplysninger som behandles, rettigheter for de som personopplysningene gjelder ved behandling av personopplysninger.
All behandling av personopplysninger skjer i overensstemmelse med de til enhver tid gjeldende personvernregler, herunder personopplysningsloven og personvernforordningen (GDPR).
Om du har spørsmål eller ønsker å vite mer om vår behandling av personopplysninger, så kan du kontakte oss – se kontaktopplysninger nedenfor.
1 Ansvarlig for behandling av personopplysninger
Kommunearkivinstitusjonenes Digitale Ressurssenter er behandlingsansvarlig, dvs. bestemmer hvorfor og hvordan personopplysningene skal behandles, for behandling som omtales nedenfor.
Vi kan også behandle personopplysninger på andre måter enn nevnt nedenfor, men da vil vi informere de personopplysningene gjelder på andre måter enn gjennom denne erklæringen.
Vår behandling som behandlingsansvarlig av personopplysninger er basert på den virksomhet vi driver og formålet med vår virksomhet, se mer nedenfor om formålet med behandling av personopplysninger.
Kontaktopplysninger for behandlingsansvarlig:
Kommunearkivinstitusjonenes Digitale Ressurssenter SA
Adresse: Maskinistgata 1, 7042 Trondheim
E-post: post@kdrs.no
Telefon: 73 10 31 60 Organisasjonsnummer: 995 726 777
2 Behandling av personopplysninger
Vi samler inn og bruker personopplysninger til ulike formål avhengig av hvem du er og hvordan vi kommer i kontakt med deg. Nedenfor følger de personopplysninger vi behandler om deg, formålet og det lovlige grunnlaget med behandlingen, hvor lenge vi behandler personopplysningene, mv.
Med «personopplysninger» menes alle opplysninger som kan knyttes til en fysisk person (sistennevnte omtales som «registrert»).
Med «behandling» menes alt som foretas med personopplysninger, som innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
Når vi er databehandler, dvs. vi behandler personopplysninger på vegne av andre, vil du få informasjon om behandlingen fra behandlingsansvarlig. Vi er bl.a. databehandler for leverandører av malsett (uttrekk av databaser), hvor det behandles informasjon om brukere som benytter malsettene på vegne av sin virksomhet. Det vil da bli behandlet brukeridentitet, navn, virksomhetstilknytning, e-postadresse, tidspunkt for nedlastning og opplasting av malsett. Du kan allikevel kontakte oss om behandlingen av dine personopplysninger, så vil vi henvise deg til rett behandlingsansvarlig. Se også nedenfor om vår rolle som databehandler.
2.1 Kommunikasjon og kontakt
Vi behandler personopplysninger om de som henvender seg til oss for å besvare og dokumentere kommunikasjonen og for å henvende oss til andre som ikke er dekket av behandlingene nedenfor i erklæringen. Dette gjelder alle former for kommunikasjon, fysisk og digitalt, skriftlig og muntlig.
I slike tilfeller behandler vi navn, telefonnummer, e-postadresse og eventuelle personopplysninger som måtte følge av henvendelsen, herunder historikk/logger om henvendelsen.
Behandlingen av opplysninger er basert på at vi har en nødvendig berettiget interesse av å behandle personopplysningen (se GDPR artikkel 6 (1) f). Vi har derfor vurdert at vår berettigede interesse i å ha kontakt med omverdenen er en del av vår virksomhet og i å dokumentere den virksomheten vi driver, samt å besvare de som kontakter oss og registrere slik kontakt. Vi har vurdert det slik at dette er nødvendig for å oss for å håndtere henvendelser vi får, og at de registrertes personvern ikke går foran disse interessene.
Det er frivillig å gi oss personopplysninger, men det vil være nødvendig å gi oss opplysningene for at vi skal kunne besvare henvendelser.
Vi behandler informasjonen inntil vi regner med at det ikke vil bli videre oppfølgning av kontakten, normalt i to år.
2.2 Tjenester
Vi samler inn og behandler personopplysninger om bruk av våre tjenester. Ved slik behandling samler vi inn kontaktopplysninger, brukerinformasjon, som når tjenestene er benyttet, tekniske logger, sikkerhetslogging på nettsidene og i tilknytning til tjenester av sikkerhetshensyn, for utvikling av tjenesten, og statistikk.
Kontaktopplysninger og kjøpshistorikk behandles for å oppfylle avtale med deg, så du kan bruke våre tjenester. Vi behandler derfor på grunnlag av GDPR artikkel 6 (1) b. Opplysningene vil beholdes så lenge det er nødvendig for å oppfylle avtalen, om det blir reklamasjon og for regnskapsføring. Opplysningene vil derfor bli behandlet i ca. 5 år.
I tilfelle personopplysninger behandles om brukere hos en virksomhet, så behandles personopplysninger på grunnlag av vår nødvendige berettigede interesse (GDPR artikkel 6 (1) f) siden å tilby våre tjenester er innenfor vår virksomhet, og at vår interesse veier tyngre enn den enkeltes personvern.
Annen behandling av personopplysninger knyttet til våre tjenester skjer på grunnlag av vår interesse for å håndtere forholdet til kunder, sikre og utvikle tjenesten, verne om våre rettigheter mv., (GDPR artikkel 6 (1) f). Vi vurderer at vi har en berettiget av å behandle denne type opplysninger, og vår interesse veier tyngre enn den enkeltes personvern.
2.3 Eksisterende og potensielle kunder, leverandører og samarbeidspartnere mv.
Vi behandler personopplysninger om kontaktpersoner hos eksisterende og potensielle kunder (i forretningsforhold), leverandører og andre samarbeidspartnere, å administrere vårt forhold til leverandører og andre, forberede, gjennomføre og dokumentere tjenester samt evaluere bruk av tjenester. Vi vil i disse tilfelle behandle navn, kontaktinformasjon, foretaksnavn og opplysninger tilknyttet kontakten med selskapet som vedkommende arbeider i.
Behandlingen av personopplysninger er basert på at vi har en nødvendig berettiget interesse (GDPR artikkel 6 (1) f) for å administrere forholdet til våre kunder, samarbeids¬partnere og leverandører, og at vår interesse veier tyngre enn den enkeltes personvern.
Vi lagrer og utleverer opplysninger også der vi har en rettslig forpliktelse til det, for eksempel etter regnskaps- og skattelovgivningen.
Vi vil lagre opplysninger så lenge vi mener det kan bli bruk for dem, for eksempel for å dokumentere forhold rundt tjenester.
I mange tilfeller vil det være nødvendig at vi får personopplysninger for å inngå avtaler med kunder og leverandører, blant annet for å dokumentere at avtale er inngått. Får vi ikke de opplysningene vi trenger, vil vi ikke kunne inngå avtaler.
Det er frivillig for kontaktpersonene om de ønsker å gi oss personopplysninger. Henter vi inn personopplysninger fra andre, vil det i hovedsak gjelde kontaktopplysninger (herunder navn, adresse, telefonnummer og e-postadresse), stilling, funksjon og arbeidsgiver samt eventuelt kompetanse og referanser der det er relevant. Kilde for slike opplysninger vil være kontaktpersonens arbeidsgiver, for eksempel fra arbeidsgivers nettside. I noen tilfeller henter vi inn referanser fra andre for å vurdere egnethet av leverandører og samarbeidspartnere.
Vi lagrer opplysningene inntil forholdet til kunde, leverandør eller samarbeidspart opphører eller til kontaktpersonen opphører å være kontaktperson, med de unntakene som er nevnt ovenfor.
2.4 Rekruttering
Ved rekruttering til nye stillinger oss hos vil bl.a. CV, søknad, attester og referanser behandles. Behandling av personopplysninger skjer på grunnlag av samtykke som du har gitt dersom behandling skjer gjennom f.eks. rekrutteringsløsning, eller på grunnlag av vår berettigede interesse for å rekruttere nye ansatte basert på GDPR artikkel 6 (1) f. For sistnevnte har vi vurdert at vår berettigede interesse i å rekruttere nye ansatte veier tyngre enn den enkeltes personvern.
2.5 Arrangementer mv.
For deltakere på arrangementer vil det bli registrert og behandlet kontaktopplysninger samt hvilket arrangement vedkommende skal delta på, slik at vedkommende kan identifisere som påmeldt og at det kan gjennomføres nødvendig kommunikasjon og eventuelt fakturering av deltakeravgift. Behandling av personopplysninger vil skje på grunnlag av å oppfylle en avtale med deltaker (GDPR artikkel 6 (1) b), eller om deltakerne representerer en virksomhet på grunnlag av vi har vurdert at vi har en nødvendig berettiget interesse (GDPR artikkel 6 (1) f) av å avholde arrangementer som del av virksomhet. I sistnevnte tilfelle har vi vurdert at vår berettigede interesse veier tyngre enn den enkeltes personvern.
I tilfelle det serveres mat og/eller drikke vil vi kunne innhente informasjon om eventuelle preferanser, som kan vise helse- og/eller religion ut fra preferansene. Dette er informasjon som vil kun behandles av oss, og som vil slettes umiddelbart etter arrangementet. I slike tilfelle vil opplysningene behandles på grunnlag av samtykke.
2.6 Bruk av nettsider
For å få informasjon om bruk av våre nettsider benytter vi informasjonskapsler (cookies). Du kan lese mer om cookies og hvilke cookies vi benytter nedenfor.
Vi bruker informasjonen som samles inn til bedre kundeopplevelsen på nettsider og tjenester, samt å tilby funksjonalitet i tjenestene. Vi benytter også informasjonen for å gi besøkende anbefalinger og tjenestetilpasninger som er mest mulig relevant for deg. Dette vil både bli gitt på bakgrunn av besøkendes atferd, f.eks. på bakgrunn av tjenester som er benyttet, linker som det er klikket på, eller informasjon som er lest, og på bakgrunn av atferden til andre brukere med liknende bruksmønster.
Personopplysningene benyttes også for å forbedre våre nettsider, og å utarbeide statistikk og forstå bruken av sidene. Så langt det er praktisk mulig forsøker vi å gjøre dette med anonyme opplysninger, uten at vi vet at informasjonen er knyttet spesifikt til den enkelte besøkende.
Vi behandler personopplysninger ovenfor på grunnlag av vår nødvendige berettigede interesse (GDPR artikkel 6 (1) f) å tilpasse nettsiden til våre brukere og at denne interessen veier tyngde enn den enkeltes personvern. Vi ivaretar imidlertid personvernet til besøkende på nettsiden ved at vi kun bruker opplysningene til statistikk. I denne statistikken er det ikke mulig å identifisere enkeltpersoner. Opplysningene vil oppbevares så lenge de er nødvendige for formålene som nevnt ovenfor.
3 Oppbevaring og lagring (sletting) av personopplysninger
Vi oppbevarer personopplysninger så lenge det er nødvendig for det formål personopplysningene ble samlet inn for, og sletter opplysningene i tråd med krav i regelverket. Hvor lenge vi behandler de enkelte typene opplysninger vi behandler, er tatt inn i ovenfor hvor de enkelte behandlinger omtales.
I stedet for å slette personopplysningene, kan det i enkelte tilfeller være aktuelt å anonymisere personopplysningene. Med anonymisering menes at alle identifiserende eller potensielt identifiserende kjennetegn fjernes fra datasett som tas vare på.
Dette betyr for eksempel at personopplysninger som vi behandler på grunnlag av ditt samtykke slettes hvis du trekker ditt samtykke. Personopplysninger vi behandler for å oppfylle en avtale med deg slettes når avtalen er oppfylt og alle plikter som følger av avtaleforholdet er oppfylt, som f.eks. lovmessige plikter knyttet til regnskapsføring.
4 Behandling av personopplysninger som del av tjenester
Kunder av oss som benytter våre tjenester er behandlingsansvarlig for de personopplysninger som behandles ved bruk av tjenestene. Vi vil da behandle personopplysninger på vegne av kunden, og er da databehandler. Det er inngått databehandleravtale mellom oss og kundene for å regulere vår behandling av personopplysninger på vegne av kundene.
Det er våre kunder som da er ansvarlig for behandlingen (behandlingsansvarlig), og du må kontakte vår kunde for å håndheve dine rettigheter, se ovenfor.
Informasjonen i denne personvernerklæringen vil også gjelde vår behandling av personopplysninger om våre kunders kunder når det gjelder utlevering og overføring av personopplysninger og sikkerhetsmessig/tekniske forhold. For sletting av personopplysninger, så er det avhengig av når vår kunde velger å slette opplysningene. Vi vil aldri benytte informasjon eller opplysninger fra våre tjenester uten at dette er instruert eller godkjent av våre kunder.
5 Overføring eller utlevering av personopplysninger til andre
Vi gir ikke personopplysninger videre til andre i andre tilfeller enn nevnt i denne erklæringen og med mindre det foreligger et lovlig grunnlag for slik utlevering. Eksempler på slikt grunnlag vil typisk være en avtale med eller samtykke fra den registrerte eller et lovgrunnlag som pålegger oss å gi ut informasjonen. Sistnevnte gjelder til offentlig virksomhet som skatteinnkreving (om nødvendig), regnskapsfører/revisor, samt andre som vi har behov for i vår virksomhet som bankforbindelse.
Vi bruker databehandlere til å samle inn, lagre eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller har vi inngått avtaler for å ivareta dine rettigheter og sikkerhet for dine personopplysninger i alle ledd av behandlingen.
Er det pålagt ved lov eller det er mistanke om at det er begått lovbrudd i forbindelse med bruk av våre tjenester, vil personopplysninger vi har lagret om deg kunne utleveres til offentlige myndigheter.
Dersom personopplysninger kan bli gjenstand for overføring til en annen organisasjon i forbindelse med omorganisering av hele eller deler av oss, vil vi kun gjøre dette dersom de involverte partene har inngått en avtale der innsamlingen, bruk og deling av personopplysningene er begrenset til de formålene som angår omorganiseringen
6 Overføring av personopplysninger til mottaker i land utenfor EØS
Det er en målsetting for oss at all behandling av personopplysninger skal foretas innenfor EØS, men det vil kunne være at vi benytter leverandører eller behandler personopplysninger utenfor EØS. I slike tilfeller vil overføring og behandling utenfor EØS skje i land godkjent av EU-kommisjonen eller i samsvar med gyldig rettslig grunnlag for overføringen av personopplysninger etter GDPR kapittel V. Skjer ikke overføring til land godkjent av EU-kommisjonen, vil overføring kun skje etter de garantier som er oppstilt i GDPR artikkel 46 (2). Hvilket grunnlag som er benyttet for overføring kan du få opplyst om du kontakter oss.
7 Sikkerhet for behandlingen
Vi prioriterer sikkerhet av personopplysninger høyt i vår virksomhet og vil iverksette alle påkrevede tekniske og organisatoriske tiltak for å sikre dine personopplysninger. Alle behandlinger vil om mulig krypteres, og ikke tilgjengelig for andre enn de som trenger personopplysninger for sine oppgaver.
Vi håndterer informasjon slik at den er riktig, tilgjengelig og håndtert i henhold til grad av sensitivitet på opplysningene. Vi benytter også en rekke sikkerhetsteknologier og informasjonssikkerhets¬prosedyrer for å beskytte personopplysningene dine fra uautorisert tilgang, bruk eller formidling. Hvor det er nødvendig gjennomføres det risikovurderinger.
Vi har inngått databehandleravtaler med alle våre leverandører som behandler personopplysninger, hvor de påtar seg samme grad av sikkerhet som vi har på vår behandling av personopplysningene.
Vi begrenser tilgangen til personopplysningene dine til det personalet eller de tredjepartene som skal behandle opplysningene på våre vegne. Disse partene er underlagt strenge konfidensialitetskrav og vi kan utøve sanksjoner eller si opp avtalen dersom disse kravene ikke overholdes.
Det er etablert rutiner for håndtering av brudd på informasjonssikkerhet og rutiner (personvernbrudd), og vi vil, dersom det foreligger brudd som medfører risiko for personvernet til de personopplysningene gjelder, sende avviksmelding til Datatilsynet så raskt som mulig og senest innen 72 timer etter bruddet ble oppdaget. Medfører bruddet høy sannsynlighet for personvernet til de bruddet gjelder, vil vi også varsle disse.
8 Dine rettigheter når vi behandler personopplysninger om deg
Nedenfor følger dine rettigheter som registrert. For å ta i bruk dine rettigheter må du [fyll inn hvordan den registrerte må gå fram f.eks. kontakte oss, se kontaktinformasjon over].
Vi vil svare på din henvendelse til oss så fort som mulig, og senest innen 30 dager. Tar det lenger tid enn 30 dager vil du få beskjed.
Vi vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg - og ikke noen som gir seg ut for å være deg.
Dine rettigheter nedenfor gjelder der vi er behandlingsansvarlig, se ovenfor. Er vi databehandler for våre kunder, og du benytter tjenester fra en av våre kunder og da er denne ansvarlig for behandlingen av personopplysninger (behandlingsansvarlig). Du må da den du mottar tjenesten for å utøve dine rettigheter knyttet til behandling av dine personopplysninger. Dine rettigheter vil da i det vesentlige være som beskrevet nedenfor.
8.1 Informasjon
Du har rett til å få informasjon om de personopplysninger vi behandler om deg. Gjennom denne erklæringen informerer vi deg om vår behandling av personopplysninger. Du kan også kontakte oss om du ønsker mer informasjon.
8.2 Innsyn
Du har rett til å kreve innsyn i personopplysningene som behandles om deg.
8.3 Endring og sletting
Du kan også be oss om å rette feilaktige opplysninger vi har om deg eller be oss om å slette personopplysninger. Vi vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men vi kan ikke gjøre dette dersom vi fremdeles har behov for opplysningene.
8.4 Behandling på grunnlag av samtykke
Behandler vi personopplysninger på grunnlag av ditt samtykke, så kan du til enhver tid trekke tilbake samtykket. Den enkleste måten å gjøre dette på, er å bruke den måte som er opplyst om da du ga samtykket eller kontakte oss.
8.5 Rett til å begrense eller protestere mot behandlingen
Du har rett til å få behandlingen begrenset i visse tilfeller, se GDPR artikkel 33, som:
a) Du bestrider riktigheten av personopplysningene, i en periode som gjør det mulig for oss å kontrollere riktigheten av personopplysningene.
b) Behandlingen er ulovlig, og du motsetter seg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses.
c) Vi ikke lenger trenger personopplysningene til formålet med behandlingen, men du har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav.
d) Du har protestert mot behandling etter GDPR artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt våre berettigede interesser går foran ditt personvern.
8.6 Retten til dataportabilitet
For opplysninger som du har gitt til oss og er nødvendig for å gjennomføre en avtale med oss, og som behandles automatisk (dvs. ikke manuelt av oss) kan du be om å få personopplysningene om deg utlevert eller overført til annen leverandør i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet).
8.7 Automatisert behandling, herunder profilering
Det vil ikke bli foretatt automatisert behandling, herunder profilering, basert på dine personopplysninger som har rettsvirkninger eller som i betydelig grad påvirker de som personopplysninger gjelder. Se GDPR artikkel 22 nr. 1 og 4.
9 Klager
Mener du at vår behandling av personopplysninger ikke er i overensstemmelse med det vi har beskrevet her eller at vi på andre måter bryter personvernlovgivningen, så kan du klage til Datatilsynet. Vi ber deg imidlertid å først kontakte oss, slik at vi kan få utbret eventuelle feil behandling raskest mulig.
Du finner informasjon om dine rettigheter og hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no
10 Endringer
Hvis det skulle skje endring av våre tjenester eller endringer i regelverket om behandling av personopplysninger, kan det medføre forandring i informasjonen du er gitt her. Har vi dine kontaktopplysninger, vil vi gjøre deg oppmerksom på disse forandringene. Ellers vil oppdatert informasjon alltid finnes lett tilgjengelig på våre nettsider.
11 Informasjonskapsler (cookies)
På nettsidene og i tjenestene til våre benyttes kun informasjonskapsler for å registrere bruken av nettsidene og for å tilpasse nettsidene bedre for brukere for å bedre brukeropplevelsen. En informasjonskapsel er en tekstfil som ved besøk på eller interaksjon med en nettside legges i din nettlesers internminne eller en nummer-/sifferserie som kan identifisere din nettleser eller enhet som benytter nettsidene (omtales som informasjonskapsler nedenfor for enkelthetens skyld).
Du har muligheten til å hindre at vi plasserer informasjonskapsler i din nettleser. Mange nettlesere eller enheter er innstilt på å akseptere informasjonskapsler automatisk, men du kan selv velge å endre innstillingene slik at kapslene ikke blir akseptert. Ulempen med å deaktivere informasjonskapsler i nettleseren din er at nettsidene ikke vil fungere optimalt. Grunnen er at formålet med de fleste informasjonskapslene vi benytter er å sørge for nettopp funksjonalitet på tjenestene.
Vi benytter også andre verktøy enn informasjonskapsler for å innhente informasjon om din IP-adresse, hvilken type nettleser du bruker, din bredbåndsleverandør, operativsystem, dato og tid for besøk på nettsted og tjenester. Denne informasjonen bruker vi til å analysere trender, slik at vi kan gjøre nettstedet og tjenestene mer brukervennlig.
Vi bruker følgende cookies på nettsidene:
• Egne informasjonskapsler fra kdrs.no
• Informasjonskapsler fra Google Analytics
kdrs.no bruker nettanalysetjenesten Google Analytics for å analysere bruken av nettsidene våre. Vi får
informasjon om hvilke sider som er mest besøkt, hvor brukerne kommer fra, på hvilke tidspunkter sidene er
mest besøkt osv.
Du finner om Google analytics bruk av cookies her:
https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
Hvis du ikke tillater oss å bruke cookies, vil nettsidene og visse funksjoner ikke fungere som de skal.