Personvernerklæring – Dråpen i Havet

Gjeldende fra og med 7. juni 2018. Oppdatert 7. juni 2018. Versjon: 1

Innhold

1.Innledning
2.Rettigheter
3.Personopplysninger – behandling og lagring av disse
4.Sikkerhet/sikring av personopplysninger

1. Innledning

1.1. Hensikt

Dråpen i havet vil med denne personvernerklæringen dokumentere at vi tar vare på våre brukere og registrertes opplysninger og at vi behandler disse i samsvar med gjeldende norsk personvernlov, herunder EUs nye personvernforordning (GDPR).

Personvernerklæringen gir en oversikt over hvilke rettigheter våre brukere og registrerte personer har knyttet til sine personopplysninger. Den inneholder informasjon om hvilke personopplysninger Dråpen i Havet samler inn, behandler og lagrer, og hva slags informasjon som benyttes om våre brukere, hva opplysningene brukes til, hvilke databehandlere og tredjeparter som har tilgang på opplysningene, samt hvordan vi beskytter de registrerte brukernes personvern.

1.2. Definisjoner

Med den registrerte eller brukeren mener vi den personen opplysningene gjelder, for eksempel en ansatt, en frivillig, en giver eller en kontaktperson hos en leverandør. Det vil i praksis si alle personer vi behandler og lagrer opplysninger om.

Personopplysninger er opplysninger og vurderinger som kan knyttes til en identifiserbar enkeltperson. Som eksempel på slike opplysninger kan nevnes navn, adresse, fødselsdato, telefonnummer og e-postadresse. Behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. All behandling av personopplysninger er underlagt den til enhver tid gjeldende personopplysninglov.

Det er behandlingsansvarlig som har ansvaret for å følge reglene. En bedrift eller organisasjon regnes som behandlingsansvarlig når den bestemmer formålet med behandlingen av personopplysninger og hvordan de skal brukes. Organisasjonen beholder ansvaret selv om den bruker for eksempel en systemleverandør eller regnskapsfører til det praktiske. Slike regnes som databehandlere. Organisasjonen er ansvarlig for å ha en avtale med hver av disse som skal sørge for at denne databehandleren følger reglene som gjelder for organisasjonen. Nærmere om dette i punkt 3.4.

2. Rettigheter

2.1. Rett til innsyn (GDPR artikkel 15)

Den registrerte har rett til å få innsyn i om og hvilke opplysninger vi har lagret om ham/henne. Den som ønsker innsyn, kan sende en henvendelse til post@drapenihavet.no og merke eposten med «Innsyn i personopplysninger». Henvendelsen vil da formidles til korrekt behandlingsansvarlig og svar på forespørselen skal foreligge innen en måned fra henvendelsen mottas (GDPR artikkel 12). Dersom det ikke er mulig å behandle forespørselen innen denne fristen, vil det gis informasjon om dette innen en måned fra henvendelsen mottas.

2.2. Retten til å bli glemt (GDPR artikkel 17)

I henhold til den nye lovgivningen har den registrerte en tydeligere rett til å kreve sletting av egne personopplysninger. Dette kalles retten til å bli glemt. Den registrerte kan kreve at opplysninger om ham/henne kan slettes når;
1. det ikke lenger er nødvendig å ta vare på opplysningene for å oppnå formålet med behandlingen
2. behandlingen er basert på samtykke, og samtykket trekkes tilbake
3. de registrerte har rett til å motsette seg behandlingen av personopplysninger
4. personopplysningene har blitt behandlet i strid med reglene
5. personopplysningene har blitt samlet inn i forbindelse med barns bruk av nettjenester

Dråpen i Havet ønsker – for statistiske formål – å fortsette lagring av enkelte opplysninger med hjemmel i GDPR artikkel 89.
Følgende opplysninger ønskes beholdt etter sletting av øvrige personopplysninger knyttet til vedkommende.

Om frivillige feltarbeidere:
– Kjønn
– Alder
– Nasjonalitet
– Lokasjon og periode for feltarbeid

Om givere:
– Kjønn
– Alder
– Donert beløp
– Måned/år for donasjon

Personopplysninger kan behandles på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e dersom det er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål, selv om det ikke lenger er nødvendig etter sitt opprinnelige formål. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.

I henhold til GDPR artikkel 89 nr. 1 skal det være innført tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes.
Dråpen i Havet sørger for at opplysningene som forblir lagret, vil anonymiseres og krypteres. Opplysningene vil videre kun behandles til å dokumentere organisasjonens virksomhet overfor Skattemyndighetene, offentlige instanser eller lignende i forbindelse med søknadsprosesser, informasjonsarbeid og situasjoner det er påkrevet å redegjøre for organisasjonens arbeid og resultater.

Særlige kategorier av personopplysninger
Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er i henhold til GDPR artikkel 9 nr. 1 forbudt.

Det er imidlertid unntak fra dette forbudet (artikkel 9 nr. 2 bokstav j), blant annet for statistiske formål. Forutsetningene er at behandlingen skjer i samsvar med artikkel 89 nr. 1 på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

Det vil si at dersom en registrert ønsker å få slettet alle sine opplysninger, kan personopplysninger likevel behandles uten samtykke fra den registrerte dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål og samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte.

Dråpen i Havet vurderer at samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. Det er selvsagt mulig å klage på dette, se nedenfor i punkt 2.6 om klagerett.

Dråpen i Havet vil, etter henvendelse fra den registrerte med anmodning om sletting av personopplysninger, sende en tilbakemelding som inneholder bekreftelse på at de opplysningene som kan identifisere vedkommende er slettet, samt informasjon om hvilke opplysninger som ønskes beholdt.

2.3. Retten til å kreve begrensning (GDPR artikkel 18 og 19)

Dersom den registrerte ikke ønsker at opplysninger skal slettes eller bestrider at opplysningene er korrekte, kan vedkommende kreve at behandlingen av personopplysningene begrenses. Med begrensning menes at opplysningene lagres, og kan kun brukes:

1. med den registrertes samtykke,
2. for å forsvare et rettskrav,
3. for å forsvare en annens rettigheter, eller
4. for å ivareta viktige samfunnsinteresser

Når opplysningene skal slettes eller begrenses, har den behandlingsansvarlige plikt til å formidle dette til alle som har mottatt personopplysningene, med mindre dette er uforholdsmessig eller umulig.

2.4. Retten til dataportabilitet (GDPR artikkel 20)

Dersom noen behandler personopplysninger basert på samtykke, for eksempel for å oppfylle en avtale med den registrerte, kan den registrerte kreve å ta med seg opplysningene sine til en annen virksomhet. Dette kalles dataportabilitet. Dersom det er teknisk mulig, kan den registrerte kreve at den behandlingsansvarlige sørger for å overføre opplysningene til den nye virksomheten.

Opplysningene skal være i et strukturert, allment brukt og maskinlesbart format. Retten til dataportabilitet gjelder ikke for behandlinger som er nødvendige for å gjennomføre oppgaver i samfunnets interesse eller under offentlig myndighetsutøvelse.

2.5. Retten til å motsette seg behandling

Enkeltpersoner har rett til å reservere seg mot at personopplysningene deres behandles i enkelte tilfeller.

All behandling av personopplysninger skal ha et behandlingsgrunnlag. Hva som er et gyldig behandlingsgrunnlag, fremgår av forordningens artikkel 6 og 9. Om den enkelte kan reservere seg, kommer an på hva behandlingsgrunnlaget er eller hva formålet er.

Enkeltpersoner kan reservere seg dersom:

1. Opplysningene behandles fordi det er nødvendig for å utføre en oppgave i allmennhe-tens interesse eller utøve offentlig myndighet etter forordningen art. 6 (1) (e)
2. Opplysningene behandles med grunnlag i en interesseavveining etter art. 6 (1) (f)
3. Formålet med behandlingen er direkte markedsføring (uavhengig av hva behandlings-grunnlaget er)

Dersom en person motsetter seg, må den behandlingsansvarlige slutte å behandle personopplysningene og slette dem. Dette gjelder uansett hva slags behandling det er snakk om.

Den behandlingsansvarlige kan likevel fortsette å behandle personopplysningene dersom virksomheten kan vise til tvingende, berettigede grunner for behandlingen som går foran den enkeltes personvern og rettigheter (se også ovenfor i punkt 2.2 om fortsatt behandling av opplysninger for statistiske formål). Det samme gjelder dersom behandlingen er nødvendig for å ivareta et rettskrav. Dette unntaket gjelder ikke når formålet er direkte markedsføring. Da har den enkelte alltid rett til å motsette seg.

2.6. Klagerett

Brukere/registrerte har rett til å klage til Datatilsynet på behandlingen av dine personopplysninger, dersom du mener det har skjedd i strid med gjeldende personvernregler.

3. Personopplysninger – behandling og lagring av disse

3.1. Hvilke opplysninger vi samler inn

Avhengig av hvilken type bruker den registrerte er og hvilken rolle den har, samler vi inn opplysninger som er nødvendig for organisasjonens virke.

Om mottakere av vårt nyhetsbrev lagrer vi epostadresse og fornavn.

Om givere/de som donerer penger til organisasjonen lagrer vi opplysninger vedkommende selv har gitt oss. Dette kan være navn, adresse, epostadresse, telefonnummer, kjønn, og kryptert personnummer. Vi lagrer ikke, men har tilgjengelig informasjon om eventuelt brukernavn på Facebook (gjennom innsamlingsaksjoner på Facebook).

Om frivillige/brukere (ikke feltarbeidere) lagrer vi opplysninger gitt oss gjennom vedkommende frivilliges personlige profil registrert på vår nettside. Dette kan være navn, kjønn, nasjonalitet, fødselsdato, adresse, epost adresse, telefonnummer, medisinsk grad og lisensnummer, samt opplysninger gitt om vedkommende frivilliges nærmeste pårørende (navn og telefonnummer).

Om fremtidige, aktive eller tidligere feltarbeidere lagrer vi gjennom vedkommende frivilliges personlige profil opprettet på vår nettside; navn, kjønn, nasjonalitet, fødselsdato, adresse, epostadresse, telefonnummer, medisinsk grad og lisensnummer, samt opplysninger gitt om nærmeste pårørende (navn og telefonnummer). I tillegg lagrer vi også hvor den frivillige har vært som frivillig feltarbeider og perioden den var ved lokasjonen. Vi har også lagret den frivilliges passnummer, eller kopi av pass.
For tidligere feltarbeidere som mottar evalueringsskjema fra oss, har vi IP adresse (fra de som besvarer evalueringen), men disse data slettes umiddelbart etter utsendelse og mottak av besvarelse.

Søknader og CV sendt oss med ønske om å bidra som frivillig administrativt eller som koordinator i felt, lagres i vårt epostsystem og i vårt elektroniske personalarkiv.

Om ansatte i Dråpen i Havet lagres navn, personnummer, bankkonto nummer og adresse i vårt lønnssystem og i vårt elektroniske personalregister, hvor vi også lagrer arbeidsavtalen. Signert original av arbeidsavtalen er også lagret i et låst skap ved vårt kontor.

Om flyktninger som mottar Dråpen i Havet sin bistand (klær/sko/mat/annen hjelp eller støtte) lagres det følgende opplysninger om i vår DropApp: Navn, alder, nasjonalitet og adresse (f.eks. container nummer i flyktningleiren)

Ved handel i vår nettbutikk, lagres navn, adresse, epostadresse og hvilke produkter de har handlet.

3.2. Opplysningene samles inn på følgende måte

Mottaker av nyhetsbrev
Via egen påmelding til nyhetsbrev gjennom vår nettside, hvor det gis samtykke til å motta nyhetsbrev.

Giver/donor
Via egen registrering, der giver oppgir opplysningene selv, som fast giver gjennom bank eller SMS, eller gjennom økonomisk bidrag gitt en gang. Personnummer mottar vi gjennom en kryptert link. Eller via bidrag til innsamlingsaksjoner på Facebook. Giver oppgir opplysninger selv.

Frivillig (også feltarbeider)
Gjennom registrering av personlig profil på vår nettside gjort av den frivillige. Her huker bruker selv av for samtykke til lagring av opplysninger. Når en feltarbeider er akseptert for en frivillig reise, blir man bedt om å gi oss enten kopi av pass, eller sitt passnummer. Disse opplysningene registreres i den personlige profilen, eller som en papirkopi når man er på lokasjonen.

Søkere (til frivillig arbeid)
Gjennom søker sin personlige henvendelse til Dråpen i Havet på epost hvor vedkommende oppgir opplysninger selv.

Ansatt
Opplysninger gis av den ansatte selv før utarbeidelse av arbeidskontrakt, samt innhentes via Skatteetaten.

Flyktning
Opplysningene innhentes fra flyktningene ved at de selv oppgir personopplysningene i samtale med representanter fra Dråpen i Havet. Eller ved at opplysningene gis Dråpen i Havet fra ledelsen av flyktningleiren.

Kjøper (handel i nettbutikk)
Kjøper oppgir nødvendige opplysninger selv når de registrerer sitt kjøp.

3.3. Hva opplysningene brukes til/formål?

Personopplysninger vil ikke bli lagret lenger enn det som er nødvendig for å oppfylle formålet med behandlingen. Formålet med behandling/lagring av de ulike typer personopplysninger avhenger av hvilken type engasjement den registrerte har i Dråpen i Havet, og fremgår av de forskjellige punktene beskrevet nedenfor.

Mottaker av nyhetsbrev
For å kunne sende ut nyhetsbrev som den registrerte har bedt om, trenger vi å lagre epostadresse.

Giver/donor
For å kunne rapportere til skattemyndighetene for de som ønsker skattefradrag, samt for å sikre forutsigbarhet og holde oversikt over organisasjonens finansielle situasjon og for å kunne utarbeide statistikker.

Frivillig
Vi trenger å ha informasjon omkring start og slutt dato, samt nasjonalitet, kjønn og alder for å best mulig kunne planlegge deltagelse og en god bemanning ved våre lokasjoner. Vi trenger personopplysninger for å kunne sende informasjon til frivillige feltarbeidere. Ved en del av våre lokasjoner, er det fra nasjonale eller lokale myndigheter krevet informasjon om passnummer eller kopi av pass for å få tilgang til leiren. Opplysninger om frivillige feltarbeideres pårørende trenger vi dersom det er nødvendig å komme i kontakt med disse om det skulle inntreffe en krisesituasjon eller en hendelse som den frivillige feltarbeideren er utsatt for.

Ansatt
I henhold til Arbeidsmiljøloven, skal alle ansatte ha arbeidskontrakter som skal inneholde personopplysninger som er beskrevet over. Dette er nødvendig for å få registrert personene i vårt lønnssystem, og for å utbetale rett lønn. Forsikringsselskapet trenger opplysninger knyttet til pensjon- og ansattforsikring.

Flyktning
For å kunne sikre at flyktningene blir del av vår distribusjon der vi leverer slike tjenester. Vi må ha oversikt over hva de ulike mottar til enhver tid, for å sikre rettferdighet i distribusjonen. For å kunne planlegge nok utstyr til enhver tid, er vi avhengige av å ha opplysningene knyttet til flyktningene.

Kunde i nettbutikk
For å kunne sende ut produkter kjøpt i vår nettbutikk, eller for å sende et gavebevis der det er kjøpt symbolske gaver.

3.4. Hvor opplysningene lagres

Opplysningene behandles av systemleverandører (databehandlere) i databaser som er nødvendig for oss å bruke for å holde oversikt over vårt arbeid. Det er inngått databehandleravtaler med disse aktørene. Nærmere beskrivelse av formål med lagring av opplysningene fremgår av punktene over. Følgende databehandlere lagrer opplysninger:

– Solidus
– Paypal
– Tripletex
– Gjensidige
– Skatteetaten
– DnB
– Amazon Web Services
– WordPress/WP Hotel
– Puzzel
– Stripe
– Pro ISP
– Survey Monkey
– Facebook
– WhatsApp
– Vipps
– Mailchimp
– Lokale myndigheter ved våre lokasjoner

Dråpen i Havet vil ikke dele, selge, formidle eller på annen måte utlevere personopplysninger om den registrerte på annen måte enn det som fremgår av denne personvernerklæringen med mindre vi er pålagt dette som følge av en bindende rettsavgjørelse eller vi har innhentet den registrerte sitt samtykke. Dette er imidlertid ikke til hinder for at vi kan benytte en databehandler som behandler personopplysningene på våre vegne i henhold til databehandleravtalen. Databehandlere som får tilgang til den registrertes/brukerens personinformasjon i forbindelse med levering av tjenester til Dråpen i Havet – (eksempelvis når vi bruker en tredjepart til å gjennomføre betalingstransaksjoner eller lagre informasjon på en webserver) er underlagt taushetsplikt, og de har ikke lov å bruke denne informasjonen på noen annen måte enn i utførelsen av tjenester for oss, jf. GDPR artikkel 28. Samtlige av disse har også regler for behandling av personopplysninger i henhold til GDPR.

Linker til våre systemleverandørers/databehandleres personvernerklæringer:

Solidus: https://solidus.no/personvernerklaering/

Paypal: https://www.paypal.com/no/webapps/mpp/ua/privacy-full

Tripletex: https://www.tripletex.no/gdpr-og-personvern/

Gjensidige: https://www.gjensidige.no/personvern-og-sikkerhet

Skatteetaten: https://www.skatteetaten.no/om-skatteetaten/personvern/

DnB: https://www.dnb.no/om-oss/personvern.html

Amazon Web Services (AWS): https://aws.amazon.com/compliance/eu-data-protection/

WordPress/WP Hotel: https://wphotell.unitedworks.no/vilkar-og-betingelser/

Puzzel: https://www.puzzel.com/uk/about-us/trust-centre/gdpr/

Stripe: https://stripe.com/guides/general-data-protection-regulation

Pro ISP: https://www.proisp.no/personvern/

SurveyMonkey: https://www.surveymonkey.com/curiosity/surveymonkey-committed-to-gdpr-compliance/

Facebook og Facebook Messenger: https://www.facebook.com/privacy/explanation

WhatsApp: https://www.whatsapp.com/security/?lang=nb

Vipps: https://www.vipps.no/vilkar/cookie-og-personvern

MailChimp: https://mailchimp.com/legal/privacy/?_ga=2.55378347.1202434019.1528100659-579363101.1528100659

4. Sikkerhet/Sikring av personopplysninger/rutiner

4.1. Rutiner og tiltak

Vi har etablert rutiner og tiltak på ulike nivåer for å sikre at ikke uvedkommende får tilgang til personopplysningene dine og at all behandling av opplysningene for øvrig skjer i tråd med gjeldende rett. Tiltakene inkluderer blant annet jevnlige risikovurderinger, tekniske systemer og fysiske prosedyrer for å ivareta informasjonssikkerhet og rutiner for å verifisere innsyns- og rettingsforespørsler.

4.2. Bruk av analyseverktøy, informasjonskapsler og annen teknologi

Vi jobber vi kontinuerlig med brukeropplevelsen på vår nettside. Derfor samler vi forskjellige typer informasjon fra våre brukere, slik at vi til enhver tid kan tilrettelegge for best mulig funksjonalitet. Eksempler på slik informasjon er hvilke sider som besøkes, når på døgnet besøket ble gjort og hvilken nettleser som ble brukt. Vi bruker også ulike former for teknologi for å gjenkjenne våre brukere og for å analysere data om disse. Teknologien brukes dels fordi det er nødvendig for at tjenester skal fungere, dels for at det skal være lettere å bruke tjenesten og dels for at vi skal kunne gjennomføre analyser som gjør oss i stand til å videreutvikle tjenesten våre. Ved å bruke vår tjeneste samtykker brukerne til at vi kan benytte slike verktøy, med mindre de deaktiverer verktøyene eksempelvis ved å endre innstillinger for informasjonskapsler i deres nettleser, eller deaktiverer et tredjepartsverktøy ved å klikke på en opt-out lenke.

Hva er informasjonskapsler?
En informasjonskapsel er en liten tekstfil som lagres på brukerens PC/mobiltelefon/nettbrett og som hjelper oss å gjøre besøkene på våre nettsteder mer meningsfylt og positivt for bruker. Informasjonskapslene kan eksempelvis inneholde brukerinnstillinger og informasjon om hvordan de har surfet på og brukt vår nettside mv. Nettprogrammet som gjør det mulig å registrere en personlig profil, bruker informasjonskapsler til å lagre brukerpreferanser i nettleseren. Bruk av informasjonskapsler er nødvendig for å kunne bruke denne tjenesten.

Hvordan bruker vi informasjonskapsler?
Vi bruker informasjonskapsler for å forenkle bruken av vår tjeneste og for å gi våre brukere relevant informasjon når de besøker nettstedet vårt. Informasjonskapsler brukes også for å måle trafikken på vår nettside, for å samle statistikk og for å forbedre vår tjeneste. I tillegg kan vi bruke informasjonskapsler fra tredjeparter for å måle og analysere trafikken og bruken av nettsiden vår, spore atferd for å bygge målgrupper for markedsføringsformål, forenkle annonsestyring og forbedre funksjonaliteten på nettsidene.

Hvordan kan bruker se hvilke informasjonskapsler lagres i nettleseren?
I innstillingene til nettleseren finner man som regel en oversikt over alle informasjonskapsler som er lagret, slik at man kan få oversikt og eventuelt slette uønskede informasjonskapsler. Nettleseren lagrer normalt alle informasjonskapsler i en bestemt mappe på harddisken, slik at man også kan undersøke innholdet i detalj.