Står til

Personvernerklæring for Står til

Hvordan vi ivaretar ditt personvern

Personvernerklæring

1 Formålene med behandlingen

Målet til STÅR TIL er at du skal få det bedre på jobben.

Behandlingen av personopplysninger har til formål å

  • forbedre arbeidsforhold,
  • forebygge (arbeidsrelatert) stress.
  • forske på arbeidsmiljøfaktorer,
  • forbedre tjenesten.

For å få til dette samles det inn data om arbeidsmiljøfaktorer, tilstand (humør, stress), og gjennomførte aktiviteter.

Innsamlede data bearbeides og tilgjengeliggjøres for ledere og medarbeidere på avdelingen anonymisiert.

2 Behandlingsgrunnlag

Personvernlovigivingen har seks rettslige behandlingsgrunnlag for personopplysninger.

For STÅR TIL behandlingsgrunnlaget berettiget interesse.

Berettiget interesse (også kalt legitim interesse) betyr at den behandlingsansvarliges interesse veier tyngre enn den registrerte sin interesse.

Merk: Vi benytter ikke samtykke som behandlingsgrunnlag fordi brukere er i et ansettelsesforhold til kunden (arbeidsgiver). Det gjør at bruk og samtykke ikke føles som frivillig siden det er en ubalanse i maktforhold mellom disse.

2.1 Berettiget interesser

Det er gjennomført en ROS (Risiko og Sårbarhetsanalyse), og en personvernkonsekvensutredning (DPIA) og konklusjonen er at behandlingen av personopplysninger er berettiget. Det betyr at den behandlingsansvarliges (din arbeidsgiver) interesser er berettiget.

ROS-analysen har kommet frem til at data-behandlingen har lav risiko for at du kan forskjell-behandles, eller tape rettigheter.

Hvilke behandlinger som er berettiget beskrives i en tabell i avsnitt "Typer opplysninger som samles inn"

3 Hvem personopplysningene utleveres til

Ingen personopplysninger kan utleveres til en tredjepart.

STÅR TIL kan kun utlevere data i aggregert og anonymisert form. Ingen tredjepart skal kunne identifisere en registrert bruker eller dens data.

Aggregerte og anonymiserte data kan utleveres til

  • behandlingsansvarlig (din arbeidsgiver)
  • forskningspartnere for bruk i vitenskapelig forskning.

Personopplysninger kan ikke utleveres til tredjepart for kommersielle formål.

4 Kategorier av databehandlere som benyttes

Databehandler benytter seg av underleverandører for skytjenester.

Krav til underleverandører er at de opererer etter forskriftene for GDPR i EU.

5 Overføring av personopplysninger til land utenfor EU/EØS

Personopplysninger overføres ikke til land utenfor EU/EØS.

6 Hvilke typer opplysninger som samles inn

Type og formål

Konto-informasjon (epost, passord, avdeling, samtykker): Innlogging, nullstilling av passord. Hvilken informasjon som skal vises.

Arbeidsmiljøundersøkelser: Kartlegging og forbedring av arbeidsmiljøet

Innsjekk for samtykket deling i aggregert form (humør og stressnivå): "Avdelingspuls" - Øke bevissthet for hvordan trivselen er på jobb.

Innsjekk, humør, stress, dagbok, personlighets-tester: Selvinnsikt, stressmestring, øvelser, personlige anbefalinger

"Analytics" - hvordan appen brukes. Hvilke sider som besøkes, og hva som blir likt. Forbedre tjenesten og forbedre innholdet.

Anonymiserte arbeidsmiljødata: Forskning på arbeidsmiljøforhold.

7 Lagringstid, kriterier for sletting av personopplysninger

Personopplysninger lagres så lenge den registrerte har konto. Den registrerte brukeren kan selv slette sin konto, og alle sine data når som helst.

En inaktiv konto slettes 2 år etter siste registrerte bruk.

Aggregerte og anonymiserte arbeidsmiljøundersøkelser beholdes så lenge databehandler eller behandlingsansvarlig har behov for de.

8 Ansvarlig for behandling av personopplysninger

Kunden (din arbeidsgiver) er behandlingsansvarlig. Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Dette er vanligvis en virksomhet.

Databehandler er leverandør av tjenesten som behandler opplysninger på instruks fra behandlingsansvarlig.

For tjenesten STÅR TIL er selskapet Excelerity databehandler. Excelerity har utviklet og drifter systemet STÅR TIL,

A. Dine rettigheter

Personopplysningsloven åpner for noe som kalles retten til å bli glemt. Vi sletter personopplysninger når de ikke lenger er nødvendige for å oppfylle det formålet de ble innhentet for. Det følger vi opp gjennom rutiner og tekniske løsninger.

Registrerte brukere har rettigheter:

  • Rett til innsyn i personopplysningene og informasjon om behandlingen
  • Rett til å slette egen bruke
  • rRett til retting og sletting av mangelfulle eller uriktige opplysninger
  • Rett til å bli slettet
  • Rett til å begrense behandlingen av personopplysninger
  • Rett til å protestere mot en behandling av opplysninger om deg
  • Rett til å klage på behandlingen av opplysninger om deg

Vi behandler data i tråd med inngått databehandleravtale mellom oss ("databehandler") og kunde ("databehandlingsansvarlig"). Vi gjør oppmerksom på at alt innhold du har laget i vår tjeneste vil bli lagret til tross for at du har slettet din bruker, men da uten noe form for identifikasjon. Vi vil da benytte benevnelser som «anonym», «ukjent bruker» eller tilsvarende terminologi, alternativt ingen benevnelse. Mer om dine rettigheter finner du på Datatilsynets hjemmesider

B. Endringer i personvernerklæringen

Vi vil kunne oppdatere personvernerklæringen fra tid til annen. Du vil få beskjed om endringer av betydning. Du vil alltid finne siste versjon av vår personvernerklæring på nettsiden STÅR TIL.no

C. Kontaktinformasjon

Excelerity AS Klostergata 72E 7030 Trondheim +47 94475303

Personvernansvarlig arne.jenssen@excelerity.com

Kontaktinformasjon for personvernombud finner du hos din behandlingsansvarlig

D. Definisjoner

Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Dette er vanligvis en virksomhet.

Databehandling: All bruk av personopplysninger, slik som innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter.

Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatiske eller ikke, f.eks innsamling, registrering, organisering, strukturering, lagring, tilpassning eller endring, gjennfinning, konsultering, bruk, utlevering ved overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

Databehandler : Den som behandler personopplysninger på oppdrag fra den behandlingsansvarlige. Dette er vanligvis en virksomhet.

Databehandleravtale: En avtale mellom databehandler og behandlingsansvarlig om hvordan personopplysninger skal behandles.

Dataminimering: Prinsipp om at innsamling av data skal avgrenses til det som er strengt nødvendig for å oppnå formålet.

Integritet : Prinsipp om at personopplysninger skal være sikret mot utilsiktet eller uautorisert endring eller sletting.

Personopplysning: Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer. Et bilde regnes som en personopplysning dersom personer kan gjenkjennes,

Konfidensialite t: Prinsipp om at personopplysninger må være sikret mot at uvedkommende får tilgang til dem.

Tilgjengelighet : Prinsipp om at personopplysninger skal være tilgjengelig for det formålet de er tiltenkt.

Behandlingsgrunnlag: All behandling av personopplysninger må ha et rettslig grunnlag for å være lov. Virksomheten må derfor ha identifisert om det finnes et behandlingsgrunnlag før opplysningene hentes inn. Hvis ikke det finnes, er bruken av personopplysningene ulovlig

Personvernforordningen har følgende lovlige behandlingsgrunnlag

  • Samtykke
  • Nødvendig for å oppfylle en avtale
  • Nødvendig for å oppfylle en rettslig plikt
  • Nødvendig for å beskytte vitale interesser
  • Nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet
  • Nødvendig for å ivareta legitime interesser - interesseavveiing

Det må finnes et behandlingsgrunnlag for behandling av hver enkelt personopplysning til hvert enkelt formål. Dersom flere behandlingsgrunnlag kan passe, må virksomheten bestemme seg for ett grunnlag per formål.