1. Personvernerklæring og behandlingsansvarlig
Personvernerklæringen informerer om hvordan Stiftelsen Seilskipet Statsraad Lehmkuhl (SSSL) samler inn og bruker personopplysninger.
Denne personvernerklæringen ble publisert: 13.05.24
Stiftelsen Seilskipet Statsraad Lehmkuhls adresse:
Skur 7, Bradbenken 2, 5003 Bergen, Norge
Kontaktopplysninger: Telefon: 55 30 17 00. E-post: lehmkuhl@lehmkuhl.no.
Stiftelsen Seilskipet Statsraad Lehmkuhl er behandlingsansvarlig for de personopplysninger som samles inn om deg.
2. Hva er personopplysninger
Personopplysninger er alt som beskriver deg eller som kan knyttes til deg som enkeltperson. Det kan omfatte kontaktopplysninger (Navn, telefonnummer osv), identifikasjonsnummer (IP-adresse, kundenummer, cookie-id osv.) og opplysninger om handlinger eller atferd (produkter du har kjøpt, sider du har besøkt, eposter du har mottatt osv).
SSSL legger stor vekt på å beskytte personopplysningene som blir betrodd oss. SSSL sikrer en forsiktig behandling av dine opplysninger og overholder lover og regler som følger av personopplysningsloven (GDPR).
3. Hvorfor vi samler inn personopplysninger, og formålet med det
3.1 Innhenting av personopplysninger i forbindelse med seiltokt
De fleste av våre seiltokt bookes lang tid på forhånd. Personopplysninger er nødvendige for både håndtering av bestillingen på kontoret og om bord på skipet under reisen. Derfor lagres personopplysningene midlertidig i en database hos SSSL.
Etter at du har gått i land fra et seiltokt vil alle person- og kontaktopplysninger om deg, samt kontaktinfo om dine pårørende, bli slettet innen ett år.
SSSL lagrer ikke personopplysninger lenger enn nødvendig for formålet de ble oppgitt for eller pålagt av loven.
For deltakelse på seiltokt (gjelder ikke skjærgårdsturer og/eller aktiviteter om bord når skipet er til kai) vil vi be om følgende personopplysninger:
- Fornavn, etternavn, mellomnavn
- Fødselsdato
- Kjønn
- Adresse
- Telefonnummer
- E-postadresse
- Passnummer og utløpsdato (tokt til utenlandet)
- Allergier og kostholdsbehov
- Helsetilstand og medisinbruk som er relevant for turen
- Informasjon om pårørende
- Fornavn og etternavn
- Telefonnummer
- Evt. flyinformasjon
Informasjon om relevante helsetilstander/medisinbruk deles med våre skipsleger, som er bundet av taushetsplikten.
Kontaktinformasjon til dine pårørende: Vi forutsetter at du selv informerer personen om at du har delt kontaktinformasjonen deres med oss. Vi vil kun bruke kontaktinformasjonen i nødstilfeller.
3.2 Statistikk for forbedring av nettsider og markedskommunikasjon
Vi samler og analyserer data om hvordan du og andre brukere benytter nettstedet. Formålet med dette er å få vite hvordan nettsidene benyttes, slik at vi kan forbedre vårt innhold og våre produkter/tjenester basert på denne innsikten.
Hvilke data: Data om atferd (hvilke sider du besøker, hva du klikker på osv), data om din enhet (type datamaskin/mobiltelefon, operativsystem, nettleser osv.), data om ditt nettverk og posisjon (avledet fra IP-adresse). Alle data knyttes til et anonymt id-nummer som lagres i en cookie i din nettleser. (les mer om cookies)
Behandlingsgrunnlag: Legitim interesse. Vi har stor verdi av å samle og analysere dette datamaterialet, og vurderer at det ikke utgjør noen stor belastning for ditt personvern så lenge informasjonen ikke knyttes til andre informasjonskilder og kontaktopplysninger.
Slik behandler vi personopplysninger: Vi benytter Google Analytics til å samle disse dataene fra din nettleser. Dataene lagres på Google sine servere, men eies av oss. De knyttes ikke til andre verktøy eller kilder med mindre du har gitt samtykke (se andre formål). For å minimere konsekvensene for personvernet lagres ip-adressen kun i anonymisert form (les om ip-anonymisering), og vi setter utløpstiden for cookien som identifiserer deg til maksimalt 7 dager. Når cookien har utløpt vil dataene ikke lenger ha noen kobling til deg som person. I tillegg vil alle individuelle data slettes automatisk av Google Analytics etter 14 måneder.
3.3 Sporing av konverteringer for annonsering
Vi måler resultatene fra vår markedsføring ved å rapportere hvor mange kontakthenvendelser og salg som kommer fra en markedskampanje. Formålet er å kunne optimalisere og effektivisere vår markedsføring.
Hvilke data: At du har gjennomført en konkret handling på vårt nettsted, og fra hvilken kilde du kom inn til vårt nettsted. Knyttes også til alle andre data som samles til statistikk (se over).
Behandlingsgrunnlag: Legitim interesse. Databehandlingen setter oss i stand til å bruke våre ressurser mest mulig effektiv, og spare både krefter og penger på tiltak som ikke skaper resultater. I de tilfeller hvor datainnsamlingen ikke er mulig å gjennomføre uten at data kobles til annen informasjon hos tredjepart baserer vi oss på ditt aktive samtykke.
Slik behandler vi personopplysninger: Databehandlingen følger de samme prinsippene som for generelle statistikkformål. Med grunnlag i legitim interesse samler og behandler vi data i Google Analytics, samt at vi sender data til Google Ads med bruk av såkalt Consent Mode (data sendes uten cookie-informasjon). Har du gitt samtykke til “markedsføring” sender vi data til Google Ads på vanlig måte, samt til Facebook, Bing og eventuelle andre annonseleverandører (mer om annonsering under).
3.4 Målretting av annonser
Vi samler data om din atferd på våre nettsider og deler disse med ulike annonseleverandører (databehandlere), med det formål å oppnå mer presis målretting av annonser.
Hvilke data: Data om atferd (hvilke sider du besøker, hva du klikker på osv), data om din enhet (type datamaskin/mobiltelefon, operativsystem, nettleser osv.), data om ditt nettverk og posisjon (avledet fra IP-adresse). Alle data knyttes til et anonymt id-nummer som lagres i en cookie i din nettleser. Dette id-nummeret er en felles identifikator for deg på tvers av alle nettsteder du besøker, som utveksler data med de samme annonseleverandørene.
Behandlingsgrunnlag: Samtykke, som du gir ved å akseptere “markedsføring” som formål (eller “alle”) når du besøker våre nettsider.
Slik behandler vi personopplysninger:
Data samles fra din nettleser når du besøker våre sider, og sendes til lagring og bearbeiding hos annonseleverandøren. Vi benytter flere ulike leverandører, inkludert Google Ads, Google Marketing Platform, Facebook, Microsoft Bing, LinkedIn. I neste omgang blir du plassert i ulike “målgrupper” hos disse leverandørene, som gir mulighet til at vi kan kjøpe annonsering av dem som du får se når du besøker andre nettsteder i deres nettverk. Derfor vil du ofte se annonser for Synlighet på mange ulike steder etter at du har besøkt våre sider. Data om deg inngår også i din generelle profil hos leverandøren, og brukes til å beskrive dine interesser og anslå andre karakteristika ved deg (profilering). Hvis du har oppgitt kontaktopplysninger eller annen personlig informasjon til leverandøren (f.eks. Facebook), så knyttes dataene også opp mot dette. Dette gir grunnlag for at andre annonsører enn Synlighet som benytter samme annonsenettverk kan kjøpe annonser med mer presis målretting. Konsekvensen for deg er at de annonsene du får se blir mer tilpasset deg og din situasjon. For å unngå at data om din atferd på våre sider benyttes på denne måten kan du unngå å samtykke til bruk av cookies til “markedsføring”. For å unngå generelt at annonseleverandører samler slike data og benytter dette til å lage en profil på deg kan du enten slette/avvise alle cookies i din nettleser, eller redigere dine innstillinger hos leverandøren. Her er linker til hvordan du kan gjøre dette hos Google, Facebook og LinkedIn.
3.5 Overføring av personopplysninger til mottakere i land utenfor EØS
Det er en målsetting for oss at all behandling av personopplysninger skal foretas innenfor EØS, men det vil kunne være at vi benytter leverandører eller behandler personopplysninger utenfor EØS. I slike tilfeller skal overføring og behandling utenfor EØS skje i land godkjent av EU-kommisjonen eller i samsvar med gyldig rettslig grunnlag for overføringen av personopplysninger etter GDPR kapittel V. Skjer ikke overføring til land godkjent av EU-kommisjonen, vil overføring kun skje etter de garantier som er oppstilt i GDPR artikkel 46 (2). Hvilket grunnlag som er benyttet for overføring kan du få opplyst om du kontakter oss. Både de leverandører vi benytter for annonsering og analyse (som Google, Facebook m.fl.) Vi er kjent med utfordringene og kravene som følger av “Schrems II”-dommen, og jobber for å finne gode løsninger på dette.
4. Dine rettigheter
Nedenfor følger dine rettigheter som registrert. For å ta i bruk dine rettigheter må du [fyll inn hvordan den registrerte må gå fram f.eks. kontakte oss, se kontaktinformasjon over].
Vi vil svare på din henvendelse til oss så fort som mulig, og senest innen 30 dager. Tar det lenger tid enn 30 dager vil du få beskjed.
Vi vil om nødvendig be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg – og ikke noen som gir seg ut for å være deg. Når det gjelder opplysninger samlet på bakgrunn av at du er identifisert med bruk av cookies så vil en slik bekreftelse være svært vanskelig. Vi kan derfor ikke gi deg innsyn i disse opplysningene annet enn på generelt grunnlag, eller gjennomføre endringer eller sletting. Dersom du sletter cookies i din nettleser vil de opplysninger vi har lagret ikke lenger ha noen tilknytning til deg.
4.2 Informasjon
Du har rett til å få informasjon om de personopplysninger vi behandler om deg. Gjennom denne erklæringen informerer vi deg om vår behandling av personopplysninger. Du kan også kontakte oss om du ønsker mer informasjon.
4.3 Innsyn
Du har rett til å kreve innsyn i personopplysningene som behandles om deg.
4.4 Endring og sletting
Du kan også be oss om å rette feilaktige opplysninger vi har om deg eller be oss om å slette personopplysninger. Vi vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men vi kan ikke gjøre dette dersom vi fremdeles har behov for opplysningene.
4.5 Behandling på grunnlag av samtykke
Behandler vi personopplysninger på grunnlag av ditt samtykke, så kan du til enhver tid trekke tilbake samtykket. Den enkleste måten å gjøre dette på, er å bruke den måte som er opplyst om da du ga samtykket eller kontakte oss.
4.6 Rett til å begrense eller protestere mot behandlingen
Du har rett til å få behandlingen begrenset i visse tilfeller, som dersom:
a) Du bestrider riktigheten av personopplysningene, i en periode som gjør det mulig for oss å kontrollere riktigheten av personopplysningene.
b) Behandlingen er ulovlig, og du motsetter seg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses.
c) Vi ikke lenger trenger personopplysningene til formålet med behandlingen, men du har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav.
d) Du har protestert mot behandling etter GDPR artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt våre berettigede interesser går foran ditt personvern.
4.7 Retten til dataportabilitet
For opplysninger som du har gitt til oss og er nødvendig for å gjennomføre en avtale med oss, og som behandles automatisk (dvs. ikke manuelt av oss) kan du be om å få personopplysningene om deg utlevert eller overført til annen leverandør i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet).
4.8 Automatiserte avgjørelser, herunder profilering
Det vil ikke bli foretatt automatiserte avgjørelser som nevnt i GDPR artikkel 22 nr. 1 og 4 basert på dine personopplysninger foruten det som gjøres under målretting av annonser, se ovenfor.
5. Generelt om oppbevaring og lagring (sletting) av personopplysninger
Vi oppbevarer personopplysninger så lenge det er nødvendig for det formål personopplysningene ble samlet inn for, og sletter opplysningene i tråd med krav i regelverket. Hvor lenge vi behandler de enkelte typene opplysninger vi behandler, er tatt inn i ovenfor hvor de enkelte behandlinger omtales.
I stedet for å slette personopplysningene, kan det i enkelte tilfeller være aktuelt å anonymisere personopplysningene. Med anonymisering menes at alle identifiserende eller potensielt identifiserende kjennetegn fjernes fra datasett som tas vare på.
Dette betyr for eksempel at personopplysninger som vi behandler på grunnlag av ditt samtykke slettes hvis du trekker ditt samtykke. Personopplysninger vi behandler for å oppfylle en avtale med deg slettes når avtalen er oppfylt og alle plikter som følger av avtaleforholdet er oppfylt, som f.eks. lovmessige plikter knyttet til regnskapsføring, oppfølging av kundeforholdet knyttet til reklamasjon mv.
Når det gjelder deltakelse på seiltokt vil all informasjon som kan knyttes til deg som person slettes ett år etter gjennomført tokt.
6. Sikkerhet for behandlingen
Vi prioriterer sikkerhet av personopplysninger høyt i vår virksomhet og vil iverksette alle påkrevde tekniske og organisatoriske tiltak for å sikre dine personopplysninger. Alle behandlinger vil om mulig krypteres, og ikke tilgjengelig for andre enn de som trenger personopplysninger for sine oppgaver.
Vi håndterer informasjon slik at den er riktig, tilgjengelig og håndtert i henhold til grad av sensitivitet på opplysningene. Vi benytter også en rekke sikkerhetsteknologier og informasjonssikkerhetsprosedyrer for å beskytte personopplysningene dine fra uautorisert tilgang, bruk eller formidling. Hvor det er nødvendig gjennomføres det risikovurderinger.
Vi har inngått databehandleravtaler med alle våre leverandører som behandler personopplysninger, hvor de påtar seg samme grad av sikkerhet som vi har på vår behandling av personopplysningene.
Vi begrenser tilgangen til personopplysningene dine til det personalet eller de tredjepartene som skal behandle opplysningene på våre vegne. Disse partene er underlagt strenge konfidensialitetskrav og vi kan utøve sanksjoner eller si opp avtalen dersom disse kravene ikke overholdes.
Det er etablert rutiner for håndtering av brudd på informasjonssikkerhet og rutiner (personvernbrudd), og vi vil, dersom det foreligger brudd som medfører risiko for personvernet til de personopplysningene gjelder, sende avviksmelding til Datatilsynet så raskt som mulig og senest innen 72 timer etter bruddet ble oppdaget. Medfører bruddet høy sannsynlighet for personvernet til de bruddet gjelder, vil vi også varsle disse.
7. Klager
Vi benytter Datatilsynet i Norge som ledende tilsynsmyndighet for grenseoverskridende behandling etter GDPR artikkel 56.
Mener du at vår behandling av personopplysninger ikke er i overensstemmelse med det vi har beskrevet her eller at vi på andre måter bryter personvernlovgivningen, så kan du klage til Datatilsynet. Vi ber deg imidlertid å først kontakte oss, slik at vi kan få utbedret eventuelle feil behandling raskest mulig.
Du finner informasjon om dine rettigheter og hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.
8. Endringer
Hvis det skulle skje endring av våre tjenester eller endringer i regelverket om behandling av personopplysninger, kan det medføre forandring i informasjonen du er gitt her. Har vi dine kontaktopplysninger, vil vi gjøre deg oppmerksom på disse forandringene. Ellers vil oppdatert informasjon alltid finnes lett tilgjengelig på våre nettsider.